Microsoft jaunais Outlook klients mierīgi pārvieto jūsu e-pastu uz mākoni

DatortehnikaNov 27, 2023
click fraud protection

Microsoft jaunajā Outlook versijā ir ieviesti daži pretrunīgi vērtēti datu koplietošanas līdzekļi

Ātrās saites

  • Ko jūs varat sagaidīt no jaunā Outlook
  • Jaunā Outlook darbība ir problemātiska
  • Vai tas ir e-pasta klients vai nē?
  • Bīstami precedenti datiem

Microsoft nesen iepazīstināja ar a jaunā Outlook versija ieslēgts Windows datori. Tas tika izstrādāts, lai aizstātu novecojušo Windows Mail un klasisko Outlook, tāpēc tas ievieš gludu jaunu dizains un ievērojami ciešāka mākoņa integrācija, vienlaikus apvienojot e-pastu un kalendāru vienā lietotne. Tas arī ievieš jaunas ģeneratīvas AI funkcijas, tostarp rakstīšanas palīgierīces un "citas uzlabotas AI funkcijas".

Tomēr lietotne rada arī dažas nopietnas bažas par privātumu. Pamatojoties uz pētījumu no Vācijas emuāra heise.de, ko esam spējuši reproducēt XDA, šķiet, ka jaunā Outlook lietotne ir daudz stingrāka integrēta ar mākoni, nekā lietotājs varētu gaidīt, paverot potenciālo Microsoft datu apjomu kolekcija. Tā ir nozīmīga privātuma problēma, tāpēc Microsoft ir jāatbild uz daudziem jautājumiem par lietotāju vēlmēm.

Ko jūs varat sagaidīt no jaunā Outlook

E-pasts joprojām ir e-pasts, vai ne?

Jaunā Outlook versija ir pieejama kopš septembra sākuma, un tajā ir ieviesta virkne jaunu funkciju. Lietotne jau ietver jaunas Copilot AI funkcijas, un Microsoft ir paziņojusi, ka plāno jauno Outlook versiju divu gadu laikā aizstāt esošo Outlook lietotni. Uzņēmums ir arī paziņojis par plašāku sarakstu gaidāmās funkcijas, kas, visticamāk, tiks paziņots nākamajos mēnešos (jo īpaši saistībā ar AI iespējām). Jaunajai lietotnei ir arī jauns lietotāja interfeiss, kas vairāk atbilst Microsoft biroja lietotņu mākoņa versijām, kā arī ciešāka integrācija ar citiem Office pakalpojumiem, piemēram, Kalendārs un Word.

Jaunā Outlook versija tagad ir pieejama veikalā Microsoft Store kā Outlook darbam ar Windows. Pēc instalēšanas lietotne sākuma izvēlnē kā Outlook (jauna).

Jaunā Outlook darbība ir problemātiska

Jūs, iespējams, nesaprotat, uz ko jūs pierakstāties

Ekrānuzņēmums, kurā parādīts konfidencialitātes brīdinājums no Outlook Desktop Gmail klienta.

Pirmo reizi atverot jauno Outlook klientu, lietotājam tiek lūgts pieteikties līdzīgi kā jebkuram citam e-pasta klientam. Ja ievadāt e-pasta adresi ar izplatītu pakalpojumu sniedzēju, piemēram, Gmail vai iCloud, klients izmantos Oauth2 darbplūsmu, lai autentificētos ar jūsu pārlūkprogrammu. Ja ievadāt trešās puses domēnu, jums tiks prasīts ievadīt IMAP paroli (ja tiek atbalstīta). Tas viss ir ļoti normāli e-pasta klientam.

Tomēr, kad esat autentificēts, jums tiek parādīts nekaitīgs logs, kas informē, ka jāizmanto Jaunajā Outlook versijā Microsoft būs jāsinhronizē jūsu e-pasta ziņojumi, notikumi un kontaktpersonas ar Microsoft Mākonis. Ir pieejama atcelšanas iespēja, taču nav iespējas atteikties un turpināt izmantot savu klientu. A atbalsta saite ir sniegta papildu informācija, kas izskaidro, ka piekļuve nodrošina tādas funkcijas kā pasts meklēšanu, fokusētu iesūtni vai atkārtotas sapulces, taču skaidri nenorāda šo datu ierobežojumus kolekcija.

Avots: Microsoft

No šī brīdinājuma lietotājs var pamatoti pieņemt, ka e-pasta klients, kurā viņš piesakās, to darīs turpināt darboties kā e-pasta klients un ka klients var nosūtīt dažus ierobežotus datus apstrādei mākonis. Tomēr tas tā nav. E-pasta klienta autentifikācijas vietā jūsu akreditācijas dati tiek nodoti Microsoft mākonim, kas autentificējas jūsu vārdā. No šī brīža visa apstrāde (tostarp jūsu e-pasta izgūšana) tiek veikta mākonī. Mēs nevarējām novērot trafiku, kas virzītos tieši no klienta uz mūsu e-pasta pakalpojumu sniedzēju.

Tas attiecas gan uz OAuth, gan IMAP darbplūsmām, taču tas ir visvairāk redzams, veicot autentifikāciju ar trešās puses IMAP serveri. Šādā gadījumā Outlook klients izmanto jūsu e-pasta pakalpojumu sniedzēja nodrošinātos IMAP akreditācijas datus, lai piekļūtu lietojumprogrammai, un pārsūta tos tieši uz Microsoft mākoni, izmantojot TLS. Mēs varētu to atkārtot, iestatot caurspīdīgu starpniekserveri starp internetu un Outlook klientu, lai pārtvertu šifrētu trafiku. Tālāk esošajā ekrānuzņēmumā mūsu lietotnes parole, kas ģenerēta no trešās puses e-pasta pakalpojumu sniedzēja, tiek kopīgota un saglabāta tieši Microsoft serveros. Atbilde uz šo pieprasījumu ir piekļuves un atsvaidzināšanas pilnvara, kas tiek izmantota, lai uzturētu pastāvīgu autentificētu sesiju ar Microsoft serveriem.

Vai tas ir e-pasta klients vai nē?

Outlook (jaunā) darbojas mazāk lokāli, nekā jūs varētu domāt

E-pasta pakalpojumu sniedzējs, ko izmantojam šim piemēram, reģistrē katras jaunas pieteikšanās IP adresi un piekļuves laiku. Ja Outlook klients sazinājās tieši ar mūsu pasta serveri (t.i., rīkojās tā, kā klientam vajadzētu), tad IP adresei, ko reģistrē e-pasta pakalpojumu sniedzējs, ir jābūt tādai pašai kā datoram, kurā darbojas programma Outlook ieslēgts. Katrā gadījumā mēs to izmēģinājām, neviens savienojums netika reģistrēts no mūsu mājas IP adreses. Tā vietā sākotnējie IMAP/SMTP savienojumi nāca no 52.x.x.x IP adreses. Ātra WHOIS meklēšana parāda, ka šī IP adrese ir reģistrēta Microsoft. Tas parādītu, ka Outlook "klients" nav nekas tāds, kas pilnībā darbojas kā Microsoft mākoņpakalpojumu apvalks un ka mūsu vietējais klients nekad nav pieteicies.

Outlook "klients" nav nekas līdzīgs, un tas pilnībā darbojas kā Microsoft mākoņpakalpojumu apvalks.

Šeit lietotājam ir skaidra problēma. Vienkārši pierakstoties jaunajā Outlook klientā, lietotājs ir efektīvi nodrošinājis Microsoft Cloud ar vispārēju un neierobežotu piekļuvi visam savam e-pasta kontam. Microsoft vienīgais pieminējums par privātumu saistītajā atbalsta lapā ir saišu kopa uz tās paziņojumu par konfidencialitāti un pakalpojumu līgumi, kuri abi nodrošina vispārēju piekļuvi jūsu datiem, lai uzlabotu Microsoft produktus un pakalpojumus. Vismaz autentificējot ar OAuth2, vairums e-pasta pakalpojumu sniedzēju piedāvā sava veida konfidencialitātes kopsavilkumu (līdzīgi tālāk norādītajam Google piemēram). Veicot autentifikāciju, izmantojot IMAP, lietotājs parasti tiek brīdināts vēl mazāk, jo lielākā daļa e-pasta pakalpojumu sniedzēju pieņem, ka e-pasta "klienti" vismaz darbojas kā klienti, nevis vārtejas uz mākoni. Ir arī svarīgi atzīmēt, ka nav acīmredzama veida, kā noraidīt šo mākoņa integrāciju, piesakoties jebkurā e-pasta kontā vai izmantojot klientu režīmā, kurā ir atspējotas dažas AI funkcijas.

Klienta e-pasta funkcionalitātes izkraušana mākonī arī atņem drošības inženieriem vai pētniekiem iespēju viegli pārbaudīt klienta darbību. Ir iespējams izsekot jūsu datu pieprasījumiem no Microsoft (lai gan tas ir sarežģīti, jo lietotājam ir jāpalaiž savs e-pasts serveris ar piekļuvi saviem žurnāliem), taču tas nedod nekādas norādes par to, cik daudz papildu apstrādes nepieciešams, ja tāds ir. vieta. Ir arī svarīgi atcerēties, ka šī piekļuve turpinās. Vairs nav iespējams apturēt Microsoft piekļuvi jūsu e-pastiem, vienkārši aizverot programmu Outlook. Lietotāji var pieteikties programmā Outlook savā darbvirsmā, lai to pārbaudītu, izlemtu, ka viņiem tas nepatīk, un vienkārši pārtraukt tās lietošanu, neizrakstoties. Kamēr lietotājs neizrakstīsies (vai citur neatsauc sesiju), Microsoft saglabās pastāvīgu piekļuvi viņa datiem.

Bīstami precedenti datiem

Vietējo klientu datu apkopošana var būt pārāk tālu

Galu galā datu vākšana ir kaut kas tāds, pie kā mēs visi esam pieraduši neatkarīgi no tā, vai tas mums patīk vai nē. Tomēr bažas rada pārskatāmas informācijas trūkums no Microsoft puses un darbvirsmas lietotņu papildināšana, lai lietotāju dati tiktu ievietoti mākonī. Microsoft smalki pieņemtie licencēšanas līgumi ļauj gandrīz neierobežoti vākt datus par uzlabot vai izveidot jaunus Microsoft rīkus, tostarp izmantojot jūsu e-pasta datus, lai apmācītu ģeneratīvo AI vai citi instrumenti.

Nevienā brīdī nav skaidri norādīts, ka Outlook darbvirsmas lietotne darbosies tikai kā ietvars. mākoņpakalpojumi vai ierobežojumi un apstākļi, saskaņā ar kuriem Microsoft piekļūs jūsu datiem mākonis. Ņemot vērā Microsoft centienus ieviest jaunas mākoņdatošanas AI integrācijas un pārliecības trūkumu pretējā gadījumā ir saprātīgi pieņemt, ka Microsoft var izmantot šāda veida datus apmācībai vai testēšanai mērķiem.

Pārredzamas informācijas trūkums no Microsoft puses un darbvirsmas lietotņu papildināšana, lai lietotāju dati tiktu ievietoti mākonī, rada bažas.

Tā var būt arī nopietna problēma uzņēmumiem. Korporatīvais galalietotājs var netīši nodrošināt Microsoft piekļuvi liela apjoma biznesa vai komerciāli sensitīviem datiem, iespējams, pārkāpjot normatīvās vai drošības prasības. Ja šie dati pēc tam tika izmantoti, lai apmācītu ģeneratīvus AI vai citus mašīnmācīšanās modeļus, kas ir publiski izlaisti, iespējams, ka daži šo datu aspekti varētu tikt atklāti, lai tiem varētu piekļūt ikviens. Šis ir ārkārtējs scenārijs, taču ir skaidrs, kur var rasties bažas.

Neatkarīgi no tā, vai esat biznesa lietotājs, sistēmas administrators, kas pārrauga tīklu, vai galalietotājs meklējot jaunu e-pasta klientu, ir svarīgi zināt, kāda ir privātuma ietekme, pierakstoties ar Outlook. Lai gan Microsoft piedāvā atklātību, ka tas sinhronizēs datus ar mākoni, tas izmanto daudz vairāk brīvības, nekā lietotājs pamatoti varētu sagaidīt, ņemot vērā viņu piekļuves apjomu un klienta lomu visi.