Microsoft의 새로운 Outlook 클라이언트는 귀하의 이메일을 클라우드로 조용히 이동시킵니다.

마이크로소프트는 최근 새로운 버전의 아웃룩 ~에 윈도우 PC. 오래된 Windows Mail과 기존 Outlook을 대체하도록 설계되었으므로 매끄러운 새 기능을 도입했습니다. 이메일과 캘린더를 하나로 결합하는 동시에 훨씬 더 긴밀한 클라우드 통합을 설계하고 앱. 또한 쓰기 지원 및 "기타 고급 AI 기능"을 포함한 새로운 생성 AI 기능을 소개합니다.

그러나 이 앱에는 몇 가지 심각한 개인 정보 보호 문제도 있습니다. 독일 블로그의 연구를 기반으로 함 heise.de, 우리가 XDA에서 재현할 수 있었던 것은 새로운 Outlook 앱이 훨씬 더 긴밀한 것으로 보입니다. 사용자가 기대하는 것보다 클라우드와 통합되어 잠재적인 Microsoft 데이터의 범위가 열립니다. 수집. 이는 중요한 개인 정보 보호 문제를 나타내므로 Microsoft는 사용자 기대에 대해 대답해야 할 많은 질문이 있습니다.

새로운 Outlook에서 기대할 수 있는 것

이메일은 여전히 ​​이메일이죠?

새 버전의 Outlook은 9월 초부터 출시되었으며 다양한 새로운 기능을 도입했습니다. 앱에는 이미 포함되어 있습니다. 새로운 Copilot AI 기능Microsoft는 2년 내에 기존 Outlook 앱을 새 버전의 Outlook으로 대체할 계획이라고 밝혔습니다. 회사는 또한 더 광범위한 목록을 발표했습니다. 다가오는 기능, 이는 앞으로 몇 달 내에 발표될 예정입니다(특히 AI 기능 관련). 새로운 앱에는 새로운 UI도 포함되어 있어 Microsoft의 클라우드 버전 오피스 앱과 더 잘 어울릴 뿐만 아니라 캘린더 및 Word와 같은 다른 Office 서비스와도 더욱 긴밀하게 통합됩니다.

새 버전의 Outlook은 현재 Microsoft Store에서 Windows용 Outlook으로 제공됩니다. 설치되면 시작 메뉴에 Outlook(신규)으로 앱이 표시됩니다.

새 Outlook에 문제가 있는 동작이 있습니다.

당신은 당신이 무엇에 가입하고 있는지 깨닫지 못할 수도 있습니다

새 Outlook 클라이언트를 처음 열면 사용자에게 다른 이메일 클라이언트와 마찬가지로 로그인하라는 메시지가 표시됩니다. Gmail이나 iCloud와 같은 일반 공급자의 이메일 주소를 입력하면 클라이언트는 Oauth2 워크플로를 사용하여 브라우저를 인증합니다. 타사 도메인을 입력하면 IMAP 비밀번호를 입력하라는 메시지가 표시됩니다(지원되는 경우). 이는 이메일 클라이언트의 경우 매우 정상적인 현상입니다.

그러나 일단 인증되면 사용을 알리는 무해한 창이 표시됩니다. 새 버전의 Outlook을 사용하려면 Microsoft에서 이메일, 이벤트 및 연락처를 Microsoft에 동기화해야 합니다. 구름. 취소 옵션이 제공되지만 클라이언트 사용을 거부하고 계속할 수 있는 옵션은 없습니다. ㅏ 지원 링크 액세스를 통해 메일과 같은 기능을 사용할 수 있음을 설명하는 추가 정보가 제공됩니다. 검색, 집중된 받은 편지함 또는 반복 회의를 수행하지만 이 데이터의 한계에 대해 명확하게 설명하지 않습니다. 수집.

이 경고를 통해 사용자는 로그인 중인 이메일 클라이언트가 계속해서 이메일 클라이언트 역할을 하며 클라이언트는 처리를 위해 일부 제한된 데이터를 보낼 수도 있습니다. 구름. 그러나 그렇지 않습니다. 이메일 클라이언트 인증 대신 자격 증명이 Microsoft 클라우드로 전달되어 사용자를 대신하여 인증됩니다. 이 시점부터 모든 처리(이메일 가져오기 포함)는 클라우드에서 처리됩니다. 클라이언트에서 이메일 제공업체로 직접 이동하는 트래픽은 관찰할 수 없습니다.

이는 OAuth 및 IMAP 워크플로 모두에 해당되지만 타사 IMAP 서버로 인증할 때 가장 눈에 띕니다. 이 경우 Outlook 클라이언트는 이메일 공급자가 제공한 IMAP 자격 증명을 사용하여 애플리케이션에 액세스하고 TLS를 통해 Microsoft 클라우드로 직접 전송합니다. 암호화된 트래픽을 가로채기 위해 인터넷과 Outlook 클라이언트 사이에 투명한 중간자 프록시를 설정하여 이를 재현할 수 있습니다. 아래 스크린샷에서는 타사 이메일 공급자로부터 생성된 앱 비밀번호가 Microsoft 서버와 직접 공유되고 저장됩니다. 이 요청에 대한 응답은 Microsoft 서버와의 지속적인 인증 세션을 유지하는 데 사용되는 액세스 및 새로 고침 토큰입니다.

이메일 클라이언트인가요, 아닌가요?

Outlook(신규)은 생각보다 로컬에서 덜 수행됩니다.

이 예에서 사용하는 이메일 제공자는 각각의 새로운 로그인의 IP 주소와 액세스 시간을 기록합니다. Outlook 클라이언트가 메일 서버와 직접 통신하는 경우(예: 클라이언트처럼 작동) 그러면 이메일 공급자가 기록하는 IP 주소는 Outlook을 실행 중인 컴퓨터와 동일해야 합니다. 에. 각 경우에 우리는 이것을 시도했지만 집 IP 주소에서는 연결이 기록되지 않았습니다. 대신 초기 IMAP/SMTP 연결은 52.x.x.x IP 주소에서 나왔습니다. 빠른 WHOIS 조회를 통해 이 IP 주소가 Microsoft에 등록되어 있음을 알 수 있습니다. 이는 Outlook "클라이언트"가 전혀 Microsoft 클라우드 서비스의 래퍼 역할을 하는 그런 종류의 것이 아니며 로컬 클라이언트가 실제로 전혀 로그인한 적이 없음을 보여줍니다.

Outlook "클라이언트"는 전혀 Microsoft 클라우드 서비스의 래퍼 역할을 하는 그런 종류의 것이 아닙니다.

여기에는 사용자에게 분명한 문제가 있습니다. 사용자는 새 Outlook 클라이언트에 로그인하기만 하면 Microsoft 클라우드에 전체 이메일 계정에 대한 포괄적이고 무제한적인 액세스 권한을 효과적으로 제공할 수 있습니다. 링크된 지원 페이지에서 Microsoft가 개인 정보 보호에 관해 언급한 유일한 내용은 개인 정보 보호 정책 및 Microsoft 제품 개선을 위해 귀하의 데이터에 대한 포괄적인 액세스를 허용하는 서비스 계약 서비스. 최소한 OAuth2로 인증할 때 대부분의 이메일 제공업체는 일종의 개인정보 보호 요약을 제공합니다(아래 Google의 예와 유사). IMAP으로 인증할 때 일반적으로 사용자에게는 훨씬 적은 경고가 표시됩니다. 대부분의 이메일 공급자는 이메일 "클라이언트"가 최소한 클라우드에 대한 게이트웨이가 아닌 클라이언트 역할을 한다고 가정합니다. 이메일 계정에 로그인하거나 일부 AI 기능이 비활성화된 모드에서 클라이언트를 사용할 때 이 클라우드 통합을 거부할 확실한 방법이 없다는 점에 유의하는 것도 중요합니다.

이메일의 클라이언트 기능을 클라우드로 오프로드하면 보안 엔지니어나 연구원이 클라이언트가 수행하는 작업을 쉽게 검사할 수 있는 기능도 제거됩니다. Microsoft에서 귀하의 데이터에 대해 수행한 요청을 추적하는 것이 가능합니다(사용자가 자신의 이메일을 실행해야 하기 때문에 까다롭기는 하지만). 로그에 액세스할 수 있는 서버). 그러나 추가 처리가 얼마나 소요되는지에 대한 표시는 허용되지 않습니다. 장소. 이 액세스가 진행 중이라는 점을 기억하는 것도 중요합니다. 더 이상 단순히 Outlook을 닫는 것만으로는 귀하의 이메일에 대한 Microsoft의 액세스를 중지할 수 없습니다. 사용자는 데스크톱에서 Outlook에 로그인하여 테스트해 본 후 마음에 들지 않으면 로그아웃하지 않고 사용을 중지할 수 있습니다. 사용자가 로그아웃하거나 다른 곳에서 세션을 취소할 때까지 Microsoft는 해당 데이터에 대한 지속적인 액세스를 유지합니다.

데이터에 대한 위험한 선례

로컬 클라이언트에 데이터를 수집하는 것은 너무 먼 단계일 수 있습니다.

데이터 수집은 결국 우리가 좋든 싫든 우리 모두에게 익숙한 것입니다. 그러나 Microsoft의 투명한 공개가 부족하고 사용자 데이터를 클라우드로 가져오기 위해 데스크톱 앱을 편승한다는 점은 우려스럽습니다. 마이크로소프트가 미묘하게 받아들인 라이센스 계약은 다음에 대한 거의 무제한의 데이터 수집을 허용합니다. 이메일 데이터를 사용하여 생성 AI를 교육하는 것을 포함하여 새로운 Microsoft 도구의 개선 또는 생성 다른 도구.

Outlook 데스크톱 앱이 독점적으로 래퍼 역할을 할 것이라는 점은 아직 명확하지 않습니다. 클라우드 서비스 또는 Microsoft가 귀하의 데이터에 액세스하는 제한 및 상황은 무엇입니까? 구름. 새로운 클라우드 기반 AI 통합에 대한 Microsoft의 추진 범위와 보증 부족을 고려할 때 그렇지 않으면 Microsoft가 교육이나 테스트를 위해 이러한 종류의 데이터를 사용할 수 있다고 가정하는 것이 합리적입니다. 목적.

Microsoft의 투명한 공개가 부족하고 사용자 데이터를 클라우드로 가져오기 위해 데스크톱 앱을 편승하는 것은 우려스럽습니다.

이는 기업에게도 심각한 문제가 될 수 있습니다. 기업 최종 사용자는 규제 또는 보안 요구 사항을 위반하여 자신도 모르게 대량의 비즈니스 또는 상업적으로 민감한 데이터에 대한 Microsoft 액세스를 제공할 수 있습니다. 그런 다음 이 데이터가 생성 AI 또는 공개적으로 출시된 기타 기계 학습 모델을 훈련하는 데 사용된 경우 해당 데이터의 일부 측면이 누구나 액세스할 수 있도록 표면화될 수 있습니다. 이는 극단적인 시나리오이지만 우려할 점은 분명합니다.

귀하가 비즈니스의 고급 사용자이든, 네트워크를 감독하는 시스템 관리자이든, 최종 사용자이든 상관없습니다. 새로운 이메일 클라이언트를 찾고 있다면 다음 계정으로 로그인하는 것이 개인정보 보호에 미치는 영향을 아는 것이 중요합니다. 시야. Microsoft는 데이터를 클라우드에 동기화할 것이라고 공개하면서 훨씬 더 많은 시간을 소비하고 있습니다. 사용자가 액세스 범위와 클라이언트의 역할에 대해 합리적으로 기대하는 것보다 더 많은 자유가 있습니다. 모두.