Nowy klient Outlook firmy Microsoft po cichu przenosi pocztę do chmury

Firma Microsoft niedawno wprowadziła nowa wersja Outlooka NA Komputery z systemem Windows. Został zaprojektowany w celu zastąpienia starzejącego się programu Poczta systemu Windows i klasycznego programu Outlook, dlatego wprowadza nowość projektowania i znacznie ściślejszej integracji z chmurą, jednocześnie łącząc pocztę i kalendarz w jedno aplikacja. Wprowadza także nowe funkcje generatywnej sztucznej inteligencji, w tym pomoce w pisaniu i „inne zaawansowane funkcje sztucznej inteligencji”.

Jednak aplikacja wprowadza również poważne obawy dotyczące prywatności. Na podstawie badań przeprowadzonych na niemieckim blogu heise.de, który udało nam się odtworzyć na XDA, wydaje się, że nowa aplikacja Outlook jest znacznie ściślejsza zintegrowany z chmurą, niż mógłby się tego spodziewać użytkownik, otwierając zakres potencjalnych danych Microsoft kolekcja. Stanowi to poważny problem dotyczący prywatności, dlatego Microsoft musi odpowiedzieć na wiele pytań dotyczących oczekiwań użytkowników.

Czego możesz się spodziewać po nowym Outlooku

E-mail to nadal e-mail, prawda?

Nowa wersja Outlooka jest dostępna od początku września i wprowadza szereg nowych funkcji. Aplikacja już zawiera nowe funkcje Copilot AI, a Microsoft oświadczył, że zamierza w ciągu dwóch lat zastąpić istniejącą aplikację Outlook nową wersją programu Outlook. Firma ogłosiła także szerszą listę nadchodzące funkcje, które prawdopodobnie zostaną ogłoszone w nadchodzących miesiącach (szczególnie w zakresie możliwości sztucznej inteligencji). Nowa aplikacja ma także nowy interfejs użytkownika, dzięki czemu jest bardziej zgodna z chmurowymi wersjami aplikacji biurowych firmy Microsoft, a także zapewnia ściślejszą integrację z innymi usługami pakietu Office, takimi jak Kalendarz i Word.

Nowa wersja programu Outlook jest teraz dostępna w sklepie Microsoft Store jako Outlook dla systemu Windows. Po zainstalowaniu aplikacja znajduje się w menu Start jako Outlook (nowość).

Nowy Outlook zachowuje się problematycznie

Możesz nie zdawać sobie sprawy, na co się rejestrujesz

Podczas pierwszego uruchomienia nowego klienta Outlook użytkownik jest proszony o zalogowanie się, podobnie jak w przypadku każdego innego klienta poczty e-mail. Jeśli wpiszesz adres e-mail u wspólnego dostawcy, takiego jak Gmail lub iCloud, klient użyje przepływu pracy Oauth2 do uwierzytelnienia w Twojej przeglądarce. Jeśli wejdziesz do domeny innej firmy, zostaniesz poproszony o podanie hasła IMAP (jeśli jest obsługiwane). Wszystko to jest bardzo normalne w przypadku klienta poczty e-mail.

Jednak po uwierzytelnieniu pojawi się nieszkodliwe okno z informacją, czego należy użyć nowej wersji programu Outlook, firma Microsoft będzie musiała zsynchronizować Twoje wiadomości e-mail, wydarzenia i kontakty z firmą Microsoft Chmura. Dostępna jest opcja anulowania, ale nie ma możliwości odmowy i kontynuowania korzystania z klienta. A łącze wsparcia zawiera dodatkowe informacje wyjaśniające, że dostęp umożliwia korzystanie z takich funkcji jak poczta wyszukiwanie, ukierunkowana skrzynka odbiorcza lub spotkania cykliczne, ale nie zawiera jasnego określenia ograniczeń tych danych kolekcja.

Na podstawie tego ostrzeżenia użytkownik może zasadnie założyć, że klient poczty e-mail, do którego się loguje, tak będzie nadal działać jako klient poczty e-mail i że klient może wysyłać pewne ograniczone dane do przetwarzania w Chmura. Jednak tak nie jest. Zamiast uwierzytelniania klienta poczty e-mail Twoje poświadczenia są przesyłane do chmury Microsoft, która dokonuje uwierzytelnienia w Twoim imieniu. Od tego momentu całe przetwarzanie (w tym pobieranie wiadomości e-mail) odbywa się w chmurze. Nie zaobserwowaliśmy żadnego ruchu przesyłanego bezpośrednio od klienta do naszego dostawcy poczty e-mail.

Dotyczy to zarówno przepływów pracy OAuth, jak i IMAP, ale jest najbardziej widoczne podczas uwierzytelniania za pomocą serwera IMAP innej firmy. W takim przypadku klient Outlook pobiera poświadczenia IMAP dostarczone przez dostawcę poczty e-mail w celu uzyskania dostępu do aplikacji i przesyła je bezpośrednio do chmury firmy Microsoft za pośrednictwem protokołu TLS. Moglibyśmy to odtworzyć, konfigurując przezroczysty serwer proxy typu „man-in-the-middle” między Internetem a klientem Outlook w celu przechwytywania zaszyfrowanego ruchu. Na poniższym zrzucie ekranu hasło do naszej aplikacji wygenerowane przez zewnętrznego dostawcę poczty e-mail jest udostępniane i przechowywane bezpośrednio na serwerach firmy Microsoft. Odpowiedzią na to żądanie jest token dostępu i odświeżania używany do utrzymywania trwałej uwierzytelnionej sesji z serwerami firmy Microsoft.

Czy jest to klient poczty e-mail, czy nie?

Outlook (nowy) działa lokalnie mniej, niż mogłoby się wydawać

Dostawca poczty e-mail, którego używamy w tym przykładzie, rejestruje adres IP i czas dostępu przy każdym nowym logowaniu. Jeśli klient Outlook komunikuje się bezpośrednio z naszym serwerem pocztowym (czyli zachowuje się tak, jak powinien), wówczas adres IP zarejestrowany przez dostawcę poczty e-mail powinien być taki sam, jak adres komputera, na którym działa program Outlook NA. W każdym przypadku, gdy tego próbowaliśmy, nie zarejestrowano żadnego połączenia z naszego domowego adresu IP. Zamiast tego początkowe połączenia IMAP/SMTP pochodziły z adresu IP 52.x.x.x. Szybkie wyszukiwanie WHOIS pokazuje, że ten adres IP jest zarejestrowany w firmie Microsoft. To pokazałoby, że „klient” Outlooka nie jest niczym takim, działa wyłącznie jako opakowanie na usługi chmurowe Microsoftu i że nasz lokalny klient tak naprawdę nigdy się nie zalogował.

„Klient” Outlooka nie jest niczym takim, działa wyłącznie jako opakowanie usług chmurowych Microsoftu.

Użytkownik ma tutaj wyraźny problem. Po prostu logując się do nowego klienta Outlook, użytkownik skutecznie zapewnił Microsoft Cloud pełny i nieograniczony dostęp do całego swojego konta e-mail. Jedyna wzmianka firmy Microsoft o prywatności na połączonej stronie pomocy technicznej to zestaw łączy do jej oświadczenia o ochronie prywatności i umowy serwisowe, które umożliwiają pełny dostęp do Twoich danych w celu ulepszania produktów Microsoft oraz usługi. Przynajmniej podczas uwierzytelniania za pomocą OAuth2 większość dostawców poczty e-mail oferuje pewnego rodzaju podsumowanie prywatności (podobne do poniższego przykładu Google). Podczas uwierzytelniania za pomocą protokołu IMAP użytkownik zwykle otrzymuje jeszcze mniej ostrzeżeń, a większość dostawców poczty e-mail zakłada, że ​​„klienci” poczty e-mail działają przynajmniej jako klienci, a nie bramy do chmury. Należy również pamiętać, że nie ma oczywistego sposobu na odrzucenie integracji z chmurą podczas logowania się na dowolne konto e-mail lub korzystania z klienta w trybie z wyłączonymi niektórymi funkcjami AI.

Przeniesienie funkcjonalności poczty e-mail z klienta do chmury eliminuje także możliwość łatwego sprawdzania, co robi klient, dla inżynierów bezpieczeństwa i badaczy. Możliwe jest śledzenie żądań wysyłanych do Twoich danych przez firmę Microsoft (choć jest to trudne, ponieważ użytkownik musiałby uruchomić własną pocztę e-mail serwer z dostępem do jego logów), ale nie pozwala to na wskazanie, ile dodatkowego przetwarzania, jeśli w ogóle, zajmuje miejsce. Należy również pamiętać, że dostęp ten jest ciągły. Nie można już zablokować dostępu firmy Microsoft do Twoich wiadomości e-mail poprzez zwykłe zamknięcie programu Outlook. Użytkownicy mogą zalogować się do programu Outlook na swoim komputerze, aby go przetestować, zdecydować, że mu się nie podoba i po prostu przestać go używać bez wylogowywania się. Dopóki użytkownik się nie wyloguje (lub nie odwoła sesji w innym miejscu), firma Microsoft zachowa stały dostęp do jego danych.

Niebezpieczne precedensy dla danych

Przekazywanie danych klientom lokalnym może być o krok za daleko

Gromadzenie danych jest ostatecznie czymś, do czego wszyscy jesteśmy przyzwyczajeni, czy nam się to podoba, czy nie. Niepokojący jest jednak brak przejrzystych ujawnień ze strony Microsoft i wykorzystywanie aplikacji komputerowych w celu przeniesienia danych użytkowników do chmury. Subtelnie akceptowane umowy licencyjne firmy Microsoft umożliwiają niemal nieograniczone gromadzenie danych dla ulepszanie lub tworzenie nowych narzędzi Microsoft, w tym wykorzystywanie danych e-mailowych do szkolenia generatywnej sztucznej inteligencji lub inne narzędzia.

W żadnym momencie nie jest jasne, że aplikacja komputerowa Outlook będzie działać wyłącznie jako opakowanie usług w chmurze lub jakie są ograniczenia i okoliczności, w jakich Microsoft będzie uzyskiwać dostęp do Twoich danych w Chmura. Biorąc pod uwagę zakres nacisków Microsoftu na nowe integracje sztucznej inteligencji w chmurze i brak pewności w przeciwnym razie rozsądne jest założenie, że Microsoft może używać tego rodzaju danych do celów szkoleniowych lub testowych cele.

Niepokojący jest brak przejrzystych informacji ze strony firmy Microsoft i wykorzystywanie aplikacji komputerowych do przesyłania danych użytkowników do chmury.

Może to stanowić poważny problem także dla przedsiębiorców. Korporacyjny użytkownik końcowy może nieświadomie zapewnić firmie Microsoft dostęp do dużych ilości poufnych danych biznesowych lub handlowych, prawdopodobnie z naruszeniem wymogów prawnych lub bezpieczeństwa. Jeśli dane te zostały następnie wykorzystane do szkolenia generatywnej sztucznej inteligencji lub innych publicznie dostępnych modeli uczenia maszynowego, możliwe, że niektóre aspekty tych danych mogłyby zostać udostępnione każdemu. To skrajny scenariusz, ale jasne jest, gdzie mogą leżeć obawy.

Niezależnie od tego, czy jesteś zaawansowanym użytkownikiem w firmie, administratorem systemów nadzorującym sieć, czy użytkownikiem końcowym Jeśli szukasz nowego klienta poczty e-mail, ważne jest, aby znać konsekwencje logowania się za jego pomocą dla prywatności Perspektywy. Microsoft, oferując ujawnienie, że będzie synchronizować dane z chmurą, bierze znacznie więcej wolności, niż użytkownik mógłby racjonalnie oczekiwać, biorąc pod uwagę zakres jego dostępu i rolę klienta Wszystko.