Noul client Outlook al Microsoft vă mută în liniște e-mailul în cloud

Microsoft a introdus recent un noua versiune de Outlook pe PC-uri Windows. A fost conceput pentru a înlocui vechiul Windows Mail și clasicul Outlook, așa că introduce o noutate design și integrări semnificativ mai stricte în cloud, combinând e-mailul și calendarul într-unul singur aplicația. De asemenea, introduce noi funcții AI generative, inclusiv asistență la scriere și „alte funcții AI avansate”.

Cu toate acestea, aplicația introduce și unele probleme serioase de confidențialitate. Pe baza cercetărilor de pe blogul german heise.de, pe care l-am putut reproduce la XDA, se pare că noua aplicație Outlook este mult mai strânsă integrat cu cloud-ul decât s-ar putea aștepta un utilizator, deschizând domeniul de aplicare a potențialelor date Microsoft Colectie. Aceasta reprezintă o problemă semnificativă de confidențialitate, așa că există o mulțime de întrebări pe care Microsoft trebuie să le răspundă cu privire la așteptările utilizatorilor.

La ce vă puteți aștepta de la noul Outlook

E-mailul este încă e-mail, nu?

Noua versiune de Outlook este disponibilă de la începutul lunii septembrie și introduce o serie de funcții noi. Aplicația include deja noi caracteristici Copilot AI, iar Microsoft a declarat că intenționează ca noua versiune de Outlook să înlocuiască aplicația Outlook existentă în termen de doi ani. Compania a anunțat, de asemenea, o listă mai largă de caracteristici viitoare, care probabil va fi anunțat în lunile următoare (în special în ceea ce privește capabilitățile AI). Noua aplicație are, de asemenea, o interfață de utilizare proaspătă, aducând-o mai mult în conformitate cu versiunile în cloud ale aplicațiilor de birou ale Microsoft, precum și o integrare mai strânsă cu alte servicii Office, cum ar fi Calendar și Word.

Noua versiune de Outlook este disponibilă în Microsoft Store acum ca Outlook pentru Windows. Odată instalată, aplicația în meniul de pornire ca Outlook (nou).

Noul Outlook are un comportament problematic

S-ar putea să nu realizezi la ce te înscrii

La deschiderea noului client Outlook pentru prima dată, utilizatorului i se cere să se conecteze la fel ca orice alt client de e-mail. Dacă introduceți o adresă de e-mail cu un furnizor comun, cum ar fi Gmail sau iCloud, clientul va folosi un flux de lucru Oauth2 pentru a se autentifica cu browserul dvs. Dacă introduceți un domeniu terță parte, vi se va solicita o parolă IMAP (dacă este acceptată). Toate acestea sunt foarte normale pentru un client de e-mail.

Cu toate acestea, odată ce sunteți autentificat, vi se prezintă o fereastră inofensivă care vă informează că să utilizați Noua versiune de Outlook, Microsoft va trebui să sincronizeze e-mailurile, evenimentele și contactele cu Microsoft Nor. Este disponibilă o opțiune de anulare, dar nu există nicio opțiune de a refuza și de a continua să vă folosiți clientul. A link de suport este furnizat cu mai multe informații, ceea ce explică faptul că accesul permite funcții precum e-mail căutare, o căsuță de e-mail concentrată sau întâlniri recurente, dar nu face o declarație clară a limitelor acestor date Colectie.

Din acest avertisment, un utilizator ar putea presupune în mod rezonabil că clientul de e-mail la care se conectează va fi continuă să acționeze ca client de e-mail și că clientul ar putea trimite unele date limitate pentru procesare în nor. Cu toate acestea, nu este cazul. În loc de autentificarea clientului dvs. de e-mail, acreditările sunt transmise cloud-ului Microsoft, care se autentifică în numele dvs. Din acest punct, toată procesarea (inclusiv preluarea e-mailurilor) este gestionată în cloud. Nu am putut observa niciun trafic care circulă direct de la client la furnizorul nostru de e-mail.

Acest lucru este valabil atât pentru fluxurile de lucru OAuth, cât și pentru IMAP, dar este cel mai vizibil atunci când vă autentificați cu un server IMAP terță parte. În acest caz, clientul Outlook preia acreditările IMAP furnizate de furnizorul dvs. de e-mail pentru a accesa aplicația și le transferă direct în cloud-ul Microsoft prin TLS. Am putea reproduce acest lucru prin configurarea unui proxy transparent de tip man-in-the-middle între internet și clientul Outlook pentru a intercepta traficul criptat. În captura de ecran de mai jos, parola aplicației noastre generată de la un furnizor de e-mail terță parte este partajată și stocată direct cu serverele Microsoft. Răspunsul la această solicitare este un token de acces și reîmprospătare care este folosit pentru a menține o sesiune autentificată persistentă cu serverele Microsoft.

Este sau nu un client de e-mail?

Outlook (nou) face mai puțin la nivel local decât ați putea crede

Furnizorul de e-mail pe care îl folosim pentru acest exemplu înregistrează adresa IP și timpul de acces pentru fiecare nouă conectare. Dacă clientul Outlook comunica direct cu serverul nostru de e-mail (adică acționa așa cum ar trebui un client), atunci adresa IP pe care o înregistrează furnizorul de e-mail ar trebui să fie aceeași cu computerul pe care rulăm Outlook pe. În fiecare caz în care am încercat acest lucru, nu a fost înregistrată nicio conexiune de la adresa IP de acasă. În schimb, conexiunile inițiale IMAP/SMTP proveneau de la o adresă IP 52.x.x.x. O căutare rapidă WHOIS arată că această adresă IP este înregistrată la Microsoft. Acest lucru ar demonstra că „clientul” Outlook nu este deloc de genul acesta, acționând în întregime ca un înveliș în jurul serviciilor cloud ale Microsoft și că clientul nostru local nu s-a conectat deloc.

„Clientul” Outlook nu este deloc asemănător, acționând în întregime ca un înveliș în jurul serviciilor cloud ale Microsoft.

Există o problemă clară pentru utilizator aici. Prin simpla conectare la noul client Outlook, un utilizator a oferit în mod efectiv Microsoft Cloud cu acces general și nerestricționat la întregul său cont de e-mail. Singura mențiune de confidențialitate a Microsoft pe pagina de asistență legată este un set de link-uri către declarația sa de confidențialitate și acorduri de servicii, ambele care permit acces general la datele dumneavoastră pentru îmbunătățirea produselor Microsoft și Servicii. Cel puțin atunci când se autentifică cu OAuth2, majoritatea furnizorilor de e-mail oferă un fel de rezumat privind confidențialitatea (similar cu exemplul de la Google de mai jos). Când se autentifică cu IMAP, un utilizator primește în mod normal și mai puține avertismente, majoritatea furnizorilor de e-mail presupunând că „clienții” de e-mail acționează cel puțin ca clienți, nu ca gateway-uri către cloud. De asemenea, este important să rețineți că nu există o modalitate evidentă de a refuza această integrare în cloud atunci când vă conectați la orice cont de e-mail sau utilizați clientul într-un mod cu unele funcții AI dezactivate.

Descărcarea funcționalității clientului de e-mail în cloud elimină, de asemenea, capacitatea inginerilor de securitate sau cercetătorilor de a inspecta cu ușurință ceea ce face clientul. Este posibil să urmăriți solicitările făcute cu privire la datele dvs. de la Microsoft (deși dificil, deoarece un utilizator ar trebui să ruleze propriul e-mail server cu acces la jurnalele sale), dar acest lucru nu permite nicio indicație cu privire la cât de multă procesare suplimentară, dacă este cazul, este nevoie loc. De asemenea, este important să rețineți că acest acces este în curs de desfășurare. Nu mai este posibil să opriți accesul Microsoft la e-mailurile dvs. prin simpla închidere a Outlook. Utilizatorii se pot conecta la Outlook pe desktop pentru a-l testa, decide că nu le place și pur și simplu încetează să-l folosească fără a se deconecta. Până când utilizatorul se deconectează (sau revocă sesiunea în altă parte), Microsoft va păstra accesul continuu la datele sale.

Precedente periculoase pentru date

Colectarea de date cu pantofi pentru clienții locali poate fi un pas prea departe

Colectarea datelor este, în cele din urmă, ceva cu care suntem obișnuiți cu toții, indiferent dacă ne place sau nu. Cu toate acestea, lipsa dezvăluirii transparente de la Microsoft și utilizarea aplicațiilor desktop pentru a introduce datele utilizatorilor în cloud sunt îngrijorătoare. Acordurile de licență acceptate subtil de la Microsoft permit colectarea de date aproape nelimitată pentru îmbunătățirea sau crearea de noi instrumente Microsoft, inclusiv utilizarea datelor de e-mail pentru a antrena AI generativă sau alte instrumente.

Nu este clar în niciun moment că aplicația desktop Outlook va acționa exclusiv ca un înveliș servicii cloud sau care sunt limitele și circumstanțele în care Microsoft vă va accesa datele în nor. Având în vedere amploarea eforturilor Microsoft în noile integrări AI bazate pe cloud și lipsa de asigurare în caz contrar, este rezonabil să presupunem că Microsoft poate folosi acest tip de date pentru instruire sau testare scopuri.

Lipsa dezvăluirii transparente de la Microsoft și utilizarea aplicațiilor desktop pentru a introduce datele utilizatorilor în cloud sunt îngrijorătoare.

Aceasta poate fi, de asemenea, o problemă serioasă pentru întreprinderi. Un utilizator final corporativ ar putea să ofere fără să vrea Microsoft acces la volume mari de date comerciale sau sensibile din punct de vedere comercial, posibil încălcând cerințele de reglementare sau de securitate. Dacă aceste date au fost apoi folosite pentru a antrena AI generative sau alte modele de învățare automată care sunt lansate public, este posibil ca unele aspecte ale acestor date să poată fi accesate de oricine. Acesta este un scenariu extrem, dar este clar unde ar putea sta preocupările.

Indiferent dacă sunteți un utilizator puternic în afaceri, un administrator de sisteme care supraveghează o rețea sau un utilizator final În căutarea unui nou client de e-mail, este important să cunoașteți implicațiile privind confidențialitatea conectării cu Outlook. Microsoft, deși oferă o dezvăluire că va sincroniza datele cu cloud, ia mult mai mult libertăți decât s-ar aștepta în mod rezonabil un utilizator cu amploarea accesului său și rolul clientului la care toate.