Microsoftov novi Outlookov odjemalec tiho premakne vašo e-pošto v oblak

RačunalništvoNov 27, 2023
click fraud protection

Microsoftova nova različica Outlooka uvaja nekaj kontroverznih funkcij za skupno rabo podatkov

hitre povezave

  • Kaj lahko pričakujete od novega Outlooka
  • Novi Outlook ima problematično vedenje
  • Je e-poštni odjemalec ali ne?
  • Nevarni precedensi za podatke

Microsoft je pred kratkim predstavil a novo različico Outlooka na Windows osebni računalniki. Zasnovan je bil za zamenjavo zastarelega programa Windows Mail in klasičnega Outlooka, zato predstavlja elegantno novost oblikovanje in občutno tesnejše integracije v oblaku, medtem ko združuje vašo e-pošto in koledar v eno aplikacija Predstavlja tudi nove generativne funkcije umetne inteligence, vključno s pomočjo pri pisanju in »drugimi naprednimi funkcijami umetne inteligence«.

Vendar pa aplikacija predstavlja tudi nekaj resnih pomislekov glede zasebnosti. Na podlagi raziskave nemškega bloga heise.de, ki smo ga lahko reproducirali na XDA, se zdi, da je nova aplikacija Outlook veliko bolj tesna integriran z oblakom, kot bi uporabnik morda pričakoval, kar odpira obseg potencialnih Microsoftovih podatkov zbirka. To predstavlja veliko težavo glede zasebnosti, zato mora Microsoft odgovoriti na veliko vprašanj o pričakovanjih uporabnikov.

Kaj lahko pričakujete od novega Outlooka

E-pošta je še vedno e-pošta, kajne?

Nova različica Outlooka je na voljo od začetka septembra in predstavlja vrsto novih funkcij. Aplikacija že vključuje nove funkcije Copilot AI, Microsoft pa je izjavil, da namerava nova različica Outlooka nadomestiti obstoječo aplikacijo Outlook v dveh letih. Podjetje je objavilo tudi širši seznam prihajajoče funkcije, ki bo verjetno objavljen v prihodnjih mesecih (zlasti glede zmogljivosti AI). Nova aplikacija ima tudi nov uporabniški vmesnik, ki je bolj usklajen z Microsoftovimi različicami pisarniških aplikacij v oblaku, kot tudi tesnejšo integracijo z drugimi Officeovimi storitvami, kot sta Calendar in Word.

Nova različica Outlooka je zdaj na voljo v trgovini Microsoft Store kot Outlook za Windows. Po namestitvi je aplikacija v začetnem meniju Outlook (novo).

Novi Outlook ima problematično vedenje

Morda se ne zavedate, za kaj se prijavljate

Posnetek zaslona, ​​ki prikazuje opozorilo o zasebnosti iz Outlookovega namiznega odjemalca Gmail.

Ko prvič odprete novega Outlookovega odjemalca, se mora uporabnik prijaviti podobno kot vsak drug e-poštni odjemalec. Če vnesete e-poštni naslov pri običajnem ponudniku, kot je Gmail ali iCloud, bo odjemalec uporabil potek dela Oauth2 za preverjanje pristnosti v vašem brskalniku. Če vnesete domeno tretje osebe, boste pozvani k vnosu gesla IMAP (če je podprto). Vse to je zelo običajno za e-poštnega odjemalca.

Ko pa ste potrjeni, se vam prikaže neškodljivo okno, ki vas obvešča, da morate uporabiti novo različico Outlooka bo moral Microsoft sinhronizirati vašo e-pošto, dogodke in stike z Microsoftom Oblak. Možnost preklica je na voljo, ni pa možnosti zavrnitve in nadaljnje uporabe vaše stranke. A povezava za podporo je na voljo nekaj več informacij, ki pojasnjujejo, da dostop omogoča funkcije, kot je pošta iskanje, osredotočen nabiralnik ali ponavljajoča se srečanja, vendar ne daje jasne izjave o omejitvah teh podatkov zbirka.

Vir: Microsoft

Iz tega opozorila lahko uporabnik razumno domneva, da bo e-poštni odjemalec, v katerega se prijavlja, to storil še naprej deluje kot e-poštni odjemalec in da lahko odjemalec pošlje nekaj omejenih podatkov v obdelavo v oblak. Vendar ni tako. Namesto preverjanja pristnosti vašega e-poštnega odjemalca se vaše poverilnice posredujejo Microsoftovemu oblaku, ki preverja pristnost v vašem imenu. Od te točke se vsa obdelava (vključno s pridobivanjem vaših e-poštnih sporočil) izvaja v oblaku. Nismo mogli opaziti prometa, ki bi potoval neposredno od stranke do našega ponudnika e-pošte.

To velja za poteke dela OAuth in IMAP, vendar je najbolj vidno pri preverjanju pristnosti s strežnikom IMAP tretje osebe. V tem primeru odjemalec Outlook za dostop do aplikacije vzame poverilnice IMAP, ki jih zagotovi vaš ponudnik e-pošte, in jih prenese neposredno v Microsoftov oblak prek TLS. To bi lahko reproducirali tako, da bi med internetom in odjemalcem Outlook vzpostavili pregleden proxy človek na sredini za prestrezanje šifriranega prometa. Na spodnjem posnetku zaslona je naše geslo za aplikacijo, ki ga ustvari tretji ponudnik e-pošte, v skupni rabi in shranjeno neposredno v Microsoftovih strežnikih. Odgovor na to zahtevo je žeton za dostop in osvežitev, ki se uporablja za vzdrževanje trajne overjene seje z Microsoftovimi strežniki.

Je e-poštni odjemalec ali ne?

Outlook (novo) naredi manj lokalno, kot si mislite

Ponudnik e-pošte, ki ga uporabljamo v tem primeru, zabeleži naslov IP in čas dostopa vsake nove prijave. Če je Outlookov odjemalec komuniciral neposredno z našim poštnim strežnikom (tj. deloval kot odjemalec), potem mora biti naslov IP, ki ga zabeleži ponudnik e-pošte, enak računalniku, v katerem izvajamo Outlook na. V vsakem primeru, ko smo to poskusili, ni bila zabeležena nobena povezava z našega domačega naslova IP. Namesto tega so začetne povezave IMAP/SMTP prišle z naslova IP 52.x.x.x. Hitro iskanje WHOIS pokaže, da je ta naslov IP registriran pri Microsoftu. To bi pokazalo, da "odjemalec" Outlooka ni nič takega, saj deluje v celoti kot ovoj okoli Microsoftovih storitev v oblaku in da se naš lokalni odjemalec sploh nikoli ni prijavil.

"Odjemalec" Outlook ni nič takega, saj deluje v celoti kot ovoj okoli Microsoftovih storitev v oblaku.

Tu obstaja očitna težava za uporabnika. S preprosto prijavo v novega odjemalca Outlook je uporabnik dejansko zagotovil Microsoftovemu oblaku splošen in neomejen dostop do svojega celotnega e-poštnega računa. Microsoftova edina omemba zasebnosti na povezani strani za podporo je nabor povezav do njegove izjave o zasebnosti in pogodbe o storitvah, ki omogočata splošen dostop do vaših podatkov za izboljšanje Microsoftovih izdelkov in storitve. Vsaj pri preverjanju pristnosti z OAuth2 večina ponudnikov e-pošte ponuja nekakšen povzetek zasebnosti (podobno Googlovemu primeru spodaj). Pri preverjanju pristnosti z IMAP je uporabnik običajno še manj opozoril, pri čemer večina ponudnikov e-pošte domneva, da e-poštni "odjemalci" delujejo vsaj kot odjemalci, ne kot prehodi v oblak. Pomembno je tudi omeniti, da ni očitnega načina za zavrnitev te integracije v oblak, ko se prijavite v kateri koli e-poštni račun ali uporabite odjemalca v načinu z onemogočenimi nekaterimi funkcijami AI.

Prenos funkcionalnosti odjemalca e-pošte v oblak prav tako odstrani zmožnost varnostnih inženirjev ali raziskovalcev, da enostavno pregledajo, kaj počne odjemalec. Možno je slediti Microsoftovim zahtevam za vaše podatke (čeprav težavno, saj bi moral uporabnik zagnati svojo e-pošto strežnik z dostopom do svojih dnevnikov), vendar to ne omogoča nobenega podatka o tem, koliko dodatne obdelave, če sploh, traja mesto. Pomembno si je tudi zapomniti, da je ta dostop stalen. Microsoftovega dostopa do vaše e-pošte ni več mogoče preprečiti tako, da preprosto zaprete Outlook. Uporabniki se lahko prijavijo v Outlook na svojem namizju, da ga preizkusijo, se odločijo, da jim ni všeč, in ga preprosto prenehajo uporabljati, ne da bi se odjavili. Dokler se uporabnik ne odjavi (ali ne prekliče seje drugje), bo Microsoft ohranil stalen dostop do njegovih podatkov.

Nevarni precedensi za podatke

Zbiranje podatkov v lokalne stranke je morda korak predaleč

Zbiranje podatkov je navsezadnje nekaj, česar smo vsi navajeni, če nam je to všeč ali ne. Vendar sta pomanjkanje preglednega razkritja tukaj s strani Microsofta in nameščanje namiznih aplikacij za prenos podatkov uporabnikov v oblak zaskrbljujoča. Microsoftove subtilno sprejete licenčne pogodbe omogočajo skoraj neomejeno zbiranje podatkov za izboljšanje ali ustvarjanje novih Microsoftovih orodij, vključno z uporabo vaših e-poštnih podatkov za usposabljanje generativne umetne inteligence oz druga orodja.

Na nobeni točki ni jasno, da bo namizna aplikacija Outlook delovala izključno kot ovoj storitve v oblaku ali kakšne so omejitve in okoliščine, pod katerimi bo Microsoft dostopal do vaših podatkov v oblak. Glede na obseg Microsoftovega prizadevanja za nove integracije umetne inteligence v oblaku in pomanjkanje zagotovila sicer je razumno domnevati, da Microsoft morda uporablja tovrstne podatke za usposabljanje ali testiranje namene.

Pomanjkanje preglednega razkritja s strani Microsofta in nameščanje namiznih aplikacij za prenos podatkov uporabnikov v oblak sta zaskrbljujoča.

To je lahko resen problem tudi za podjetja. Končni uporabnik v podjetju bi lahko Microsoftu nehote omogočil dostop do velikih količin poslovnih ali komercialno občutljivih podatkov, kar bi lahko kršilo regulativne ali varnostne zahteve. Če bi bili ti podatki nato uporabljeni za usposabljanje generativnih AI-jev ali drugih modelov strojnega učenja, ki so javno objavljeni, je možno, da bi bili nekateri vidiki teh podatkov vidni tako, da bi lahko kdorkoli dostopal. To je skrajni scenarij, vendar je jasno, kje so lahko pomisleki.

Ne glede na to, ali ste izkušen uporabnik v podjetju, sistemski skrbnik, ki nadzira omrežje, ali končni uporabnik če iščete novega e-poštnega odjemalca, je pomembno vedeti, kakšne posledice ima prijava na zasebnost Outlook. Čeprav Microsoft ponuja razkritje, da bo sinhroniziral podatke v oblak, jemlje veliko več svoboščine, kot bi jih uporabnik razumno pričakoval glede na obseg njihovega dostopa in vlogo stranke vse.