De nieuwe Outlook-client van Microsoft verplaatst uw e-mail stilletjes naar de cloud

De nieuwe versie van Microsoft Outlook introduceert een aantal controversiële functies voor het delen van gegevens

Snelle koppelingen

  • Wat u kunt verwachten van de nieuwe Outlook
  • De nieuwe Outlook vertoont problematisch gedrag
  • Is het een e-mailclient of niet?
  • Gevaarlijke precedenten voor data

Microsoft heeft onlangs een nieuwe versie van Outlook op Windows-pc's. Het is ontworpen om het verouderde Windows Mail en het klassieke Outlook te vervangen, en introduceert dus een gelikt nieuwigheidje ontwerp en aanzienlijk nauwere cloudintegraties, terwijl u uw e-mail en agenda in één combineert app. Het introduceert ook nieuwe generatieve AI-functies, waaronder schrijfhulpmiddelen en “andere geavanceerde AI-functies.”

De app introduceert echter ook enkele ernstige privacyproblemen. Gebaseerd op onderzoek van de Duitse blog heise.de, die we bij XDA hebben kunnen reproduceren, lijkt de nieuwe Outlook-app veel strakker te zijn geïntegreerd met de cloud dan een gebruiker zou verwachten, waardoor de reikwijdte van potentiële Microsoft-gegevens wordt vergroot verzameling. Dit vertegenwoordigt een aanzienlijk privacyprobleem, dus er zijn veel vragen die Microsoft moet beantwoorden over de verwachtingen van gebruikers.

Wat u kunt verwachten van de nieuwe Outlook

E-mail is nog steeds e-mail, toch?

De nieuwe versie van Outlook is sinds begin september beschikbaar en introduceert een reeks nieuwe functionaliteiten. De app bevat al nieuwe Copilot AI-functies, en Microsoft heeft verklaard dat het de bedoeling is dat de nieuwe versie van Outlook de bestaande Outlook-app binnen twee jaar zal vervangen. Het bedrijf heeft ook een bredere lijst aangekondigd aankomende functies, die waarschijnlijk in de komende maanden zal worden aangekondigd (vooral rond AI-mogelijkheden). De nieuwe app heeft ook een frisse gebruikersinterface, waardoor deze meer in lijn ligt met Microsofts cloudversies van kantoorapps, evenals een nauwere integratie met andere Office-services zoals Agenda en Word.

De nieuwe versie van Outlook is nu beschikbaar in de Microsoft Store als Outlook voor Windows. Eenmaal geïnstalleerd verschijnt de app in het startmenu als Outlook (nieuw).

De nieuwe Outlook vertoont problematisch gedrag

Het kan zijn dat u zich niet realiseert waarvoor u zich aanmeldt

Een schermafbeelding van de privacywaarschuwing van de Outlook Desktop Gmail-client.

Wanneer de nieuwe Outlook-client voor de eerste keer wordt geopend, wordt de gebruiker gevraagd in te loggen, net als bij elke andere e-mailclient. Als u een e-mailadres invoert bij een gebruikelijke provider, zoals Gmail of iCloud, gebruikt de client een Oauth2-workflow om te authenticeren met uw browser. Als u een domein van een derde partij invoert, wordt u om een ​​IMAP-wachtwoord gevraagd (indien ondersteund). Dit is allemaal heel normaal voor een e-mailclient.

Zodra u echter bent geverifieerd, krijgt u een onschadelijk venster te zien waarin u wordt geïnformeerd dat u dit moet gebruiken de nieuwe versie van Outlook, zal Microsoft uw e-mails, gebeurtenissen en contacten met Microsoft moeten synchroniseren Wolk. Er is een annuleringsoptie beschikbaar, maar er is geen optie om te weigeren en uw client te blijven gebruiken. A ondersteunende koppeling is voorzien van wat meer informatie, wat verklaart dat de toegang functies zoals e-mail mogelijk maakt zoeken, een gerichte inbox of terugkerende vergaderingen, maar maakt geen duidelijke uitspraak over de grenzen van deze gegevens verzameling.

Bron: Microsoft

Op basis van deze waarschuwing kan een gebruiker er redelijkerwijs van uitgaan dat de e-mailclient waarbij hij inlogt dat ook doet blijft optreden als e-mailclient en dat de client mogelijk een beperkt aantal gegevens verzendt voor verwerking in de wolk. Dat is echter niet het geval. In plaats van dat uw e-mailclient authenticeert, worden uw inloggegevens doorgegeven aan de Microsoft-cloud, die namens u authenticeert. Vanaf dit punt wordt alle verwerking (inclusief het ophalen van uw e-mails) in de cloud afgehandeld. We konden geen verkeer waarnemen dat rechtstreeks van de klant naar onze e-mailprovider ging.

Dit geldt voor zowel OAuth- als IMAP-workflows, maar is het meest zichtbaar bij authenticatie met een IMAP-server van derden. In dit geval gebruikt de Outlook-client de IMAP-inloggegevens die door uw e-mailprovider zijn verstrekt om toegang te krijgen tot de applicatie en brengt deze via TLS rechtstreeks over naar de cloud van Microsoft. We zouden dit kunnen reproduceren door een transparante man-in-the-middle-proxy op te zetten tussen internet en de Outlook-client om gecodeerd verkeer te onderscheppen. In de onderstaande schermafbeelding wordt ons app-wachtwoord, gegenereerd door een externe e-mailprovider, rechtstreeks gedeeld en opgeslagen op de servers van Microsoft. Het antwoord op dit verzoek is een toegangs- en vernieuwingstoken dat wordt gebruikt om een ​​blijvende geverifieerde sessie met de servers van Microsoft te onderhouden.

Is het een e-mailclient of niet?

Outlook (nieuw) doet lokaal minder dan je zou denken

De e-mailprovider die we voor dit voorbeeld gebruiken, registreert het IP-adres en de toegangstijd van elke nieuwe login. Als de Outlook-client rechtstreeks met onze mailserver communiceerde (dat wil zeggen dat hij zich gedroeg zoals een client zou moeten doen), dan moet het IP-adres dat de e-mailprovider registreert hetzelfde zijn als de computer waarop Outlook wordt uitgevoerd op. In elk geval dat we dit probeerden, werd er geen verbinding geregistreerd vanaf ons thuis-IP-adres. In plaats daarvan kwamen de initiële IMAP/SMTP-verbindingen van een 52.x.x.x IP-adres. Een snelle WHOIS-zoekopdracht laat zien dat dit IP-adres bij Microsoft is geregistreerd. Dit zou aantonen dat de Outlook-client helemaal niets van dien aard is, dat deze volledig als omhulsel rond de clouddiensten van Microsoft fungeert en dat onze lokale client helemaal nooit heeft ingelogd.

De Outlook-client is niets dergelijks en fungeert volledig als omhulsel rond de cloudservices van Microsoft.

Er is hier een duidelijk probleem voor de gebruiker. Door eenvoudigweg in te loggen bij de nieuwe Outlook-client heeft een gebruiker de Microsoft Cloud in feite voorzien van algemene en onbeperkte toegang tot zijn volledige e-mailaccount. De enige vermelding van privacy door Microsoft op de gekoppelde ondersteuningspagina is een reeks links naar de privacyverklaring en serviceovereenkomsten, die beide algemene toegang tot uw gegevens mogelijk maken voor het verbeteren van Microsoft-producten en Diensten. Bij authenticatie met OAuth2 bieden de meeste e-mailproviders tenminste een soort privacyoverzicht (vergelijkbaar met het voorbeeld van Google hieronder). Bij authenticatie met IMAP krijgt een gebruiker normaal gesproken nog minder waarschuwingen, waarbij de meeste e-mailproviders ervan uitgaan dat e-mailclients op zijn minst fungeren als clients en niet als gateways naar de cloud. Het is ook belangrijk op te merken dat er geen voor de hand liggende manier is om deze cloudintegratie te weigeren wanneer u zich aanmeldt bij een e-mailaccount of de client gebruikt in een modus waarin sommige AI-functies zijn uitgeschakeld.

Het overbrengen van de clientfunctionaliteit van e-mail naar de cloud neemt ook de mogelijkheid weg voor beveiligingsingenieurs of onderzoekers om eenvoudig te inspecteren wat de client doet. Het is mogelijk om de verzoeken van Microsoft over uw gegevens bij te houden (hoewel lastig, aangezien een gebruiker zijn eigen e-mailaccount zou moeten beheren) server met toegang tot de logbestanden), maar dit geeft geen enkele indicatie over hoeveel extra verwerking, indien aanwezig, in beslag neemt plaats. Het is ook belangrijk om te onthouden dat deze toegang doorlopend is. Het is niet langer mogelijk om de toegang van Microsoft tot uw e-mails te stoppen door simpelweg Outlook te sluiten. Gebruikers kunnen op hun desktop inloggen bij Outlook om het uit te proberen, besluiten dat ze het niet leuk vinden en gewoon stoppen met het gebruik ervan zonder zich af te melden. Totdat de gebruiker zich afmeldt (of de sessie elders intrekt), behoudt Microsoft voortdurende toegang tot zijn gegevens.

Gevaarlijke precedenten voor data

Het verzamelen van gegevens bij lokale klanten kan een stap te ver zijn

Gegevensverzameling is uiteindelijk iets waar we allemaal aan gewend zijn, of we het nu leuk vinden of niet. Het gebrek aan transparante openbaarmaking hier van Microsoft en het meeliften van desktop-apps om gebruikersgegevens in de cloud te krijgen, zijn echter zorgwekkend. De subtiel geaccepteerde licentieovereenkomsten van Microsoft maken een vrijwel onbeperkte gegevensverzameling mogelijk voor de verbetering of creatie van nieuwe Microsoft-tools, inclusief het gebruik van uw e-mailgegevens om generatieve AI te trainen of andere hulpmiddelen.

Het is op geen enkel moment duidelijk gemaakt dat de Outlook-desktopapp uitsluitend als omhulsel zal fungeren clouddiensten of wat de limieten en omstandigheden zijn waaronder Microsoft toegang heeft tot uw gegevens in de wolk. Gezien de reikwijdte van Microsofts streven naar nieuwe cloudgebaseerde AI-integraties en het gebrek aan zekerheid anders is het redelijk om aan te nemen dat Microsoft dit soort gegevens gebruikt voor training of testen doeleinden.

Het gebrek aan transparante openbaarmaking hier van Microsoft en het meeliften van desktop-apps om gebruikersgegevens in de cloud te krijgen, zijn zorgwekkend.

Ook voor bedrijven kan dit een serieus probleem zijn. Een zakelijke eindgebruiker zou Microsoft onbewust toegang kunnen verlenen tot grote hoeveelheden zakelijke of commercieel gevoelige gegevens, mogelijk in strijd met wettelijke of beveiligingsvereisten. Als deze gegevens vervolgens zouden worden gebruikt om generatieve AI's of andere machine learning-modellen te trainen die publiekelijk worden vrijgegeven, is het mogelijk dat sommige aspecten van die gegevens voor iedereen toegankelijk zijn. Dit is een extreem scenario, maar het is duidelijk waar de zorgen liggen.

Of u nu een hoofdgebruiker in het bedrijfsleven bent, een systeembeheerder die toezicht houdt op een netwerk of een eindgebruiker Als u op zoek bent naar een nieuwe e-mailclient, is het belangrijk om te weten wat de privacyimplicaties zijn als u zich aanmeldt Vooruitzichten. Hoewel Microsoft bekendmaakt dat het gegevens met de cloud zal synchroniseren, neemt het veel meer vrijheden dan een gebruiker redelijkerwijs zou verwachten gezien de omvang van zijn toegang en de rol van de cliënt alle.