Nový klient Outlook od Microsoftu potichu presunie vaše e-maily do cloudu

Microsoft nedávno predstavil a nová verzia Outlooku na Windows PC. Bol navrhnutý tak, aby nahradil zastaraný Windows Mail a klasický Outlook, takže predstavuje úhľadnú novinku dizajn a výrazne užšie cloudové integrácie pri kombinovaní vášho e-mailu a kalendára do jedného aplikácie. Zavádza tiež nové generatívne funkcie AI vrátane pomocníkov pri písaní a „ďalších pokročilých funkcií AI“.

Aplikácia však prináša aj niektoré vážne obavy o súkromie. Na základe výskumu z nemeckého blogu heise.de, ktorý sa nám podarilo reprodukovať na XDA, sa zdá, že nová aplikácia Outlook je oveľa prísnejšia integrované s cloudom, než by používateľ očakával, čím sa otvára rozsah potenciálnych údajov spoločnosti Microsoft zber. To predstavuje významný problém ochrany osobných údajov, takže existuje veľa otázok, ktoré musí spoločnosť Microsoft zodpovedať o očakávaniach používateľov.

Čo môžete očakávať od nového Outlooku

E-mail je stále e-mail, však?

Nová verzia Outlooku je dostupná od začiatku septembra a prináša celý rad nových funkcií. Aplikácia už obsahuje nové funkcie AI Copilotaa Microsoft uviedol, že má v úmysle, aby nová verzia Outlooku nahradila existujúcu aplikáciu Outlook do dvoch rokov. Spoločnosť tiež oznámila širší zoznam nadchádzajúce funkcie, ktorá bude pravdepodobne oznámená v nasledujúcich mesiacoch (najmä v oblasti schopností AI). Nová aplikácia má tiež nové používateľské rozhranie, vďaka čomu je viac v súlade s cloudovými verziami kancelárskych aplikácií od spoločnosti Microsoft, ako aj užšiu integráciu s inými službami balíka Office, ako sú Kalendár a Word.

Nová verzia Outlooku je teraz dostupná v Microsoft Store ako Outlook pre Windows. Po nainštalovaní sa aplikácia v ponuke Štart zobrazí ako Outlook (nový).

Nový Outlook má problematické správanie

Možno si neuvedomujete, na čo sa podpisujete

Pri prvom otvorení nového klienta Outlook je používateľ požiadaný o prihlásenie podobne ako ktorýkoľvek iný e-mailový klient. Ak zadáte e-mailovú adresu od bežného poskytovateľa, ako je Gmail alebo iCloud, klient použije na overenie vo vašom prehliadači pracovný postup Oauth2. Ak zadáte doménu tretej strany, zobrazí sa výzva na zadanie hesla IMAP (ak je podporované). To všetko je pre e-mailového klienta úplne bežné.

Po overení sa vám však zobrazí neškodné okno, ktoré vás informuje, že ho použiť v novej verzii Outlooku bude musieť spoločnosť Microsoft synchronizovať vaše e-maily, udalosti a kontakty so spoločnosťou Microsoft Cloud. K dispozícii je možnosť zrušenia, ale neexistuje žiadna možnosť odmietnuť a pokračovať v používaní svojho klienta. A odkaz na podporu obsahuje ďalšie informácie, ktoré vysvetľujú, že prístup umožňuje funkcie, ako je pošta vyhľadávanie, zameranú doručenú poštu alebo opakujúce sa stretnutia, ale jasne neuvádza limity týchto údajov zber.

Z tohto varovania môže používateľ dôvodne predpokladať, že e-mailový klient, do ktorého sa prihlasuje, bude naďalej vystupovať ako e-mailový klient a že klient môže posielať niektoré obmedzené údaje na spracovanie v oblak. Nie je to však tak. Namiesto overovania vášho e-mailového klienta sa vaše poverenia odošlú do cloudu spoločnosti Microsoft, ktorý sa overí vo vašom mene. Od tohto bodu sa všetko spracovanie (vrátane načítania vašich e-mailov) vykonáva v cloude. Nemohli sme pozorovať žiadnu premávku smerujúcu priamo od klienta k nášmu poskytovateľovi e-mailu.

Platí to pre pracovné postupy OAuth aj IMAP, ale najviac to vidno pri autentifikácii pomocou servera IMAP tretej strany. V tomto prípade klient Outlook vezme poverenia IMAP poskytnuté vaším poskytovateľom e-mailu na prístup k aplikácii a prenesie ich priamo do cloudu spoločnosti Microsoft cez TLS. Mohli by sme to reprodukovať nastavením transparentného servera proxy typu man-in-the-middle medzi internetom a klientom Outlook na zachytávanie šifrovanej prevádzky. Na snímke obrazovky nižšie je heslo našej aplikácie vygenerované od poskytovateľa e-mailu tretej strany zdieľané a uložené priamo na serveroch spoločnosti Microsoft. Odpoveďou na túto požiadavku je prístupový a obnovovací token, ktorý sa používa na udržiavanie trvalej overenej relácie so servermi spoločnosti Microsoft.

Je to e-mailový klient alebo nie?

Outlook (nový) robí lokálne menej, než by ste si mysleli

Poskytovateľ e-mailu, ktorého používame v tomto príklade, zaznamenáva IP adresu a čas prístupu každého nového prihlásenia. Ak klient Outlook komunikoval priamo s naším poštovým serverom (t. j. správal sa tak, ako by mal klient), potom by adresa IP, ktorú poskytovateľ e-mailu zaznamenáva, mala byť rovnaká ako adresa počítača, na ktorom používame program Outlook na. V každom prípade, keď sme to skúšali, nebolo zaznamenané žiadne pripojenie z našej domácej IP adresy. Namiesto toho počiatočné pripojenia IMAP/SMTP pochádzali z adresy IP 52.x.x.x. Rýchle vyhľadávanie WHOIS ukazuje, že táto adresa IP je zaregistrovaná v spoločnosti Microsoft. To by demonštrovalo, že „klient“ Outlooku nie je ničím podobným, funguje výlučne ako obal cloudových služieb spoločnosti Microsoft a že náš lokálny klient sa v skutočnosti nikdy vôbec neprihlásil.

„Klient“ Outlooku nie je ničím podobným a funguje výlučne ako obal cloudových služieb spoločnosti Microsoft.

Pre užívateľa je tu jasný problém. Jednoduchým prihlásením do nového klienta Outlook používateľ efektívne poskytol cloudu spoločnosti Microsoft všeobecný a neobmedzený prístup k celému svojmu e-mailovému účtu. Jediná zmienka spoločnosti Microsoft o ochrane osobných údajov na prepojenej stránke podpory je súbor odkazov na jej vyhlásenie o ochrane osobných údajov a zmluvy o poskytovaní služieb, ktoré umožňujú paušálny prístup k vašim údajom na zlepšenie produktov spoločnosti Microsoft a služby. Prinajmenšom pri autentifikácii pomocou OAuth2 väčšina poskytovateľov e-mailu ponúka nejaký súhrn ochrany osobných údajov (podobný príkladu od Googlu nižšie). Pri autentifikácii pomocou IMAP je používateľ zvyčajne varovaný ešte menej, pričom väčšina poskytovateľov e-mailu predpokladá, že e-mailoví „klienti“ vystupujú prinajmenšom ako klienti, nie ako brány do cloudu. Je tiež dôležité poznamenať, že neexistuje žiadny zrejmý spôsob, ako odmietnuť túto integráciu cloudu pri prihlasovaní sa do akéhokoľvek e-mailového účtu alebo používať klienta v režime s vypnutými niektorými funkciami AI.

Presunutie klientskej funkcie e-mailu do cloudu tiež odstraňuje možnosť bezpečnostných inžinierov alebo výskumníkov jednoducho kontrolovať, čo klient robí. Je možné sledovať požiadavky na vaše údaje od spoločnosti Microsoft (aj keď je to zložité, pretože používateľ by musel spustiť svoj vlastný e-mail server s prístupom k jeho protokolom), ale to neumožňuje žiadne informácie o tom, koľko dodatočného spracovania, ak nejaké nejaké, zaberá miesto. Je tiež dôležité mať na pamäti, že tento prístup je nepretržitý. Už nie je možné zastaviť prístup spoločnosti Microsoft k vašim e-mailom jednoduchým zatvorením programu Outlook. Používatelia sa môžu prihlásiť do Outlooku na svojej pracovnej ploche, otestovať ho, rozhodnúť sa, že sa mu nepáči, a jednoducho ho prestať používať bez odhlásenia. Kým sa používateľ neodhlási (alebo nezruší reláciu inde), Microsoft si zachová trvalý prístup k jeho údajom.

Nebezpečné precedensy pre údaje

Zhromažďovanie údajov u miestnych klientov môže byť príliš ďaleko

Zber údajov je v konečnom dôsledku niečo, na čo sme všetci zvyknutí, či sa nám to páči alebo nie. Nedostatočné transparentné zverejnenie zo strany spoločnosti Microsoft a spájanie aplikácií pre stolné počítače s cieľom dostať údaje používateľov do cloudu sú však znepokojujúce. Jemne akceptované licenčné zmluvy Microsoftu umožňujú takmer neobmedzený zber údajov pre zlepšenie alebo vytvorenie nových nástrojov spoločnosti Microsoft vrátane použitia vašich e-mailových údajov na trénovanie generatívnej AI alebo iné nástroje.

V žiadnom bode nie je jasné, že počítačová aplikácia Outlook bude fungovať výlučne ako obal cloudové služby alebo aké sú limity a okolnosti, za ktorých bude spoločnosť Microsoft pristupovať k vašim údajom v oblak. Vzhľadom na rozsah úsilia spoločnosti Microsoft do nových cloudových integrácií AI a nedostatok istoty v opačnom prípade je rozumné predpokladať, že spoločnosť Microsoft môže používať tento druh údajov na školenie alebo testovanie účely.

Nedostatočné transparentné sprístupnenie informácií zo strany spoločnosti Microsoft a spájanie aplikácií pre stolné počítače s cieľom dostať údaje používateľov do cloudu sú znepokojujúce.

To môže byť vážny problém aj pre podniky. Firemný koncový používateľ by mohol nevedomky poskytnúť spoločnosti Microsoft prístup k veľkým objemom obchodných alebo komerčne citlivých údajov, čo by mohlo byť v rozpore s regulačnými alebo bezpečnostnými požiadavkami. Ak sa tieto údaje potom použili na trénovanie generatívnych AI alebo iných modelov strojového učenia, ktoré sú verejne vydané, je možné, že niektoré aspekty týchto údajov by mohli byť zverejnené pre kohokoľvek. Toto je extrémny scenár, ale je jasné, kde môžu byť obavy.

Či už ste skúsený používateľ v podnikaní, správca systému dohliadajúci na sieť alebo koncový používateľ pri hľadaní nového e-mailového klienta je dôležité poznať dôsledky prihlásenia na súkromie Outlook. Microsoft, hoci ponúka zverejnenie, že bude synchronizovať dáta do cloudu, zaberá oveľa viac slobôd, než by používateľ primerane očakával vzhľadom na rozsah ich prístupu a úlohu klienta všetky.