Naujoji „Microsoft Outlook“ programa tyliai perkelia jūsų el. paštą į debesį

„Microsoft“ neseniai pristatė a nauja Outlook versija įjungta „Windows“ kompiuteriai. Jis buvo sukurtas pakeisti senstantį „Windows Mail“ ir klasikinę „Outlook“, todėl pristato naują dizainas ir žymiai griežtesnė debesų integracija, kartu sujungiant el. paštą ir kalendorių į vieną programėlė. Jame taip pat pristatomos naujos generacinės AI funkcijos, įskaitant rašymo pagalbą ir „kitas pažangias AI funkcijas“.

Tačiau programa taip pat kelia rimtų privatumo problemų. Remiantis Vokietijos tinklaraščio tyrimais heise.de, kurį galėjome atkurti XDA, atrodo, kad naujoji „Outlook“ programa yra daug griežtesnė integruotas į debesį, nei gali tikėtis vartotojas, atveriant potencialių „Microsoft“ duomenų apimtį kolekcija. Tai yra rimta privatumo problema, todėl „Microsoft“ turi atsakyti į daug klausimų apie vartotojų lūkesčius.

Ko galite tikėtis iš naujosios „Outlook“.

El. paštas vis dar yra el. paštas, tiesa?

Naujoji „Outlook“ versija buvo prieinama nuo rugsėjo pradžios ir joje pristatoma daugybė naujų funkcijų. Programėlėje jau yra naujos „Copilot AI“ funkcijos, o „Microsoft“ pareiškė, kad per dvejus metus ketina nauja „Outlook“ versija pakeisti esamą „Outlook“ programą. Bendrovė taip pat paskelbė platesnį sąrašą būsimos funkcijos, kuris greičiausiai bus paskelbtas ateinančiais mėnesiais (ypač dėl AI galimybių). Naujoji programa taip pat turi naują vartotojo sąsają, todėl ji labiau suderinama su „Microsoft“ debesies „Office“ programų versijomis, taip pat glaudesnė integracija su kitomis „Office“ paslaugomis, tokiomis kaip Kalendorius ir „Word“.

Naujoji „Outlook“ versija dabar pasiekiama „Microsoft Store“ kaip „Outlook“, skirta „Windows“. Įdiegta programa pradžios meniu kaip „Outlook“ (nauja).

Naujoji „Outlook“ turi problemų

Galbūt nesuvokiate, dėl ko užsiregistruojate

Pirmą kartą atidarius naują „Outlook“ klientą, vartotojo prašoma prisijungti, kaip ir bet kurios kitos el. pašto programos. Jei įvesite įprasto teikėjo el. pašto adresą, pvz., „Gmail“ ar „iCloud“, klientas naudos „Oauth2“ darbo eigą, kad patvirtintų jūsų naršyklę. Jei įvesite trečiosios šalies domeną, būsite paraginti įvesti IMAP slaptažodį (jei palaikoma). Visa tai labai įprasta el. pašto klientui.

Tačiau kai būsite autentifikuoti, jums pateikiamas nekenksmingas langas, informuojantis, kad reikia naudoti naujoje „Outlook“ versijoje „Microsoft“ turės sinchronizuoti jūsų el. laiškus, įvykius ir kontaktus su „Microsoft“. Debesis. Galima atšaukimo parinktis, bet nėra galimybės atsisakyti ir toliau naudotis klientu. A palaikymo nuoroda pateikiama šiek tiek daugiau informacijos, kuri paaiškina, kad prieiga įgalina tokias funkcijas kaip paštas paiešką, tikslinius gautuosius ar pasikartojančius susitikimus, tačiau aiškiai nenurodo šių duomenų ribų kolekcija.

Iš šio įspėjimo vartotojas gali pagrįstai manyti, kad el. pašto programa, prie kurios jie prisijungia, tai padarys ir toliau veikti kaip el. pašto klientas ir klientas gali siųsti tam tikrus ribotus duomenis apdoroti debesis. Tačiau taip nėra. Vietoj el. pašto programos autentifikavimo, jūsų kredencialai perduodami „Microsoft“ debesiui, kuris autentifikuojasi jūsų vardu. Nuo šio momento visas apdorojimas (įskaitant el. laiškų gavimą) tvarkomas debesyje. Nepastebėjome jokio srauto, keliaujančio tiesiai iš kliento į mūsų el. pašto paslaugų teikėją.

Tai galioja ir OAuth, ir IMAP darbo eigoms, tačiau geriausiai matoma autentifikuojant trečiosios šalies IMAP serverį. Tokiu atveju „Outlook“ klientas paima jūsų el. pašto teikėjo pateiktus IMAP kredencialus, kad pasiektų programą, ir perkelia juos tiesiai į „Microsoft“ debesį per TLS. Galėtume tai atkurti nustatydami skaidrų tarpinį tarpinį serverį tarp interneto ir „Outlook“ kliento, kad perimtų šifruotą srautą. Toliau pateiktoje ekrano kopijoje mūsų programos slaptažodis, sugeneruotas iš trečiosios šalies el. pašto teikėjo, yra bendrinamas ir saugomas tiesiogiai „Microsoft“ serveriuose. Atsakymas į šią užklausą yra prieigos ir atnaujinimo prieigos raktas, naudojamas palaikyti nuolatinę autentifikuotą seansą su „Microsoft“ serveriais.

Ar tai el. pašto klientas, ar ne?

„Outlook“ (nauja) veikia mažiau vietoje, nei manote

El. pašto paslaugų teikėjas, kurį naudojame šiame pavyzdyje, įrašo kiekvieno naujo prisijungimo IP adresą ir prieigos laiką. Jei „Outlook“ klientas tiesiogiai bendravo su mūsų pašto serveriu (t. y. elgėsi taip, kaip turėtų klientas), tada IP adresas, kurį įrašo el. pašto paslaugų teikėjas, turi būti toks pat kaip kompiuterio, kuriame veikia „Outlook“. įjungta. Kiekvienu atveju tai bandėme, ryšys iš mūsų namų IP adreso nebuvo įrašytas. Vietoj to, pradiniai IMAP / SMTP ryšiai atsirado iš 52.x.x.x IP adreso. Greita WHOIS paieška rodo, kad šis IP adresas užregistruotas Microsoft. Tai parodytų, kad „Outlook“ „klientas“ nėra panašus į „Microsoft“ debesijos paslaugų paketą ir kad mūsų vietinis klientas iš tikrųjų niekada neprisijungė.

„Outlook“ „klientas“ nėra panašus į „Microsoft“ debesijos paslaugų paketą.

Čia yra aiški vartotojo problema. Paprasčiausiai prisijungęs prie naujosios „Outlook“ kliento, vartotojas veiksmingai suteikė „Microsoft Cloud“ visišką ir neribotą prieigą prie visos savo el. pašto paskyros. Vienintelis „Microsoft“ paminėjimas apie privatumą susietame palaikymo puslapyje yra nuorodų rinkinys į jos privatumo pareiškimą ir paslaugų sutartys, kurios abi suteikia visišką prieigą prie jūsų duomenų, siekiant tobulinti „Microsoft“ produktus ir paslaugos. Bent jau autentifikuojant naudojant OAuth2, dauguma el. pašto paslaugų teikėjų siūlo tam tikrą privatumo suvestinę (panašią į toliau pateiktą „Google“ pavyzdį). Kai autentifikuojamas naudojant IMAP, vartotojas paprastai dar mažiau įspėjamas, nes dauguma el. pašto paslaugų teikėjų daro prielaidą, kad el. pašto „klientai“ bent jau veikia kaip klientai, o ne kaip vartai į debesį. Taip pat svarbu pažymėti, kad nėra akivaizdaus būdo atsisakyti šios debesies integracijos prisijungiant prie bet kurios el. pašto paskyros arba naudojant klientą režimu, kai kai kurios AI funkcijos išjungtos.

Kliento el. pašto funkcijų perkėlimas į debesį taip pat pašalina saugos inžinierių ar tyrėjų galimybę lengvai patikrinti, ką klientas veikia. Galima sekti jūsų duomenų užklausas iš „Microsoft“ (nors ir sudėtinga, nes vartotojas turi paleisti savo el. serveris, turintis prieigą prie savo žurnalų), tačiau tai neleidžia nurodyti, kiek reikia papildomo apdorojimo, jei reikia. vieta. Taip pat svarbu atsiminti, kad ši prieiga yra nuolatinė. Nebeįmanoma sustabdyti „Microsoft“ prieigos prie jūsų el. laiškų tiesiog uždarius „Outlook“. Vartotojai gali prisijungti prie „Outlook“ savo darbalaukyje, kad galėtų ją išbandyti, nuspręsti, kad jiems tai nepatinka, ir tiesiog nebenaudoti jos neatsijungę. Kol vartotojas neatsijungs (arba neatšauks seanso kitur), „Microsoft“ išsaugos nuolatinę prieigą prie savo duomenų.

Pavojingi duomenų precedentai

Duomenų rinkimas vietiniams klientams gali būti per toli

Duomenų rinkimas galiausiai yra tai, prie ko mes visi esame įpratę, nesvarbu, ar mums tai patinka, ar ne. Tačiau nerimą kelia tai, kad „Microsoft“ neatskleidžia skaidraus atskleidimo ir darbalaukio programėlių papildo, kad naudotojų duomenys būtų patekę į debesį. „Microsoft“ subtiliai priimtos licencijavimo sutartys leidžia beveik neribotą duomenų rinkimą tobulinti arba kurti naujus „Microsoft“ įrankius, įskaitant el. pašto duomenų naudojimą generuojamajam AI mokyti arba kiti įrankiai.

Niekada nebuvo aišku, kad „Outlook“ darbalaukio programa veiks tik kaip įvynioklis debesijos paslaugos arba kokios yra ribos ir aplinkybės, kuriomis „Microsoft“ pasieks jūsų duomenis debesis. Atsižvelgiant į „Microsoft“ pastangas diegti naujas debesies pagrindu veikiančias AI integracijas ir užtikrinimo trūkumą kitu atveju pagrįsta manyti, kad „Microsoft“ gali naudoti tokio tipo duomenis mokymams ar bandymams tikslai.

Susirūpinimą kelia tai, kad „Microsoft“ neatskleidžia skaidraus atskleidimo ir darbalaukio programų papildymas, kad naudotojų duomenys būtų perkelti į debesį.

Tai taip pat gali būti rimta problema įmonėms. Įmonės galutinis vartotojas gali nesąmoningai suteikti „Microsoft“ prieigą prie didelių verslo ar komerciškai neskelbtinų duomenų, galbūt pažeisdamas reguliavimo ar saugos reikalavimus. Jei vėliau šie duomenys buvo naudojami generuojamiesiems AI ar kitiems mašininio mokymosi modeliams, kurie yra viešai paskelbti, mokyti, gali būti, kad kai kurie tų duomenų aspektai gali būti prieinami visiems. Tai kraštutinis scenarijus, tačiau aišku, kur gali kilti rūpesčių.

Nesvarbu, ar esate patyręs vartotojas versle, sistemos administratorius, prižiūrintis tinklą, ar galutinis vartotojas ieškant naujos el. pašto programos, svarbu žinoti prisijungimo prie privatumo pasekmes Outlook. „Microsoft“, siūlydama atskleisti, kad sinchronizuos duomenis su debesimi, naudoja daug daugiau laisves, nei vartotojas pagrįstai tikėtųsi, atsižvelgdamas į savo prieigos mastą ir kliento vaidmenį visi.