Мицрософтов нови Оутлоок клијент тихо премешта вашу е-пошту у облак

Мицрософт је недавно представио а нова верзија Оутлоок-а на Виндовс рачунари. Дизајниран је да замени застарели Виндовс Маил и класични Оутлоок, тако да представља глатку нову дизајн и знатно чвршће интеграције у облаку док комбинују вашу е-пошту и календар у једно апликација. Такође уводи нове генеративне АИ функције, укључујући помоћ при писању и „друге напредне АИ функције“.

Међутим, апликација такође уводи неке озбиљне бриге о приватности. На основу истраживања са немачког блога хеисе.де, који смо успели да репродукујемо на КСДА, изгледа да је нова Оутлоок апликација много чвршћа интегрисан са облаком него што корисник може да очекује, отварајући обим потенцијалних Мицрософт података збирка. Ово представља значајан проблем приватности, тако да постоји много питања на која Мицрософт треба да одговори о очекивањима корисника.

Шта можете очекивати од новог Оутлоок-а

Е-пошта је још увек е-пошта, зар не?

Нова верзија Оутлоок-а доступна је од почетка септембра и уводи низ нових функција. Апликација већ укључује нове функције Цопилот АИ, а Мицрософт је изјавио да намерава да нова верзија Оутлоок-а замени постојећу Оутлоок апликацију у року од две године. Компанија је такође објавила ширу листу предстојеће карактеристике, који ће вероватно бити објављен у наредним месецима (посебно у вези са АИ могућностима). Нова апликација такође има свеже корисничко сучеље, што га чини више у складу са Мицрософтовим верзијама канцеларијских апликација у облаку, као и чвршћу интеграцију са другим Оффице услугама као што су Цалендар и Ворд.

Нова верзија Оутлоок-а је сада доступна у Мицрософт Сторе-у као Оутлоок за Виндовс. Једном инсталирана, апликација у почетном менију као Оутлоок (нова).

Нови Оутлоок има проблематично понашање

Можда не схватате за шта се пријављујете

Када први пут отворите нови Оутлоок клијент, од корисника се тражи да се пријави као и сваки други клијент е-поште. Ако унесете адресу е-поште код уобичајеног добављача, као што је Гмаил или иЦлоуд, клијент ће користити Оаутх2 ток посла за аутентификацију помоћу вашег прегледача. Ако унесете домен треће стране, од вас ће бити затражено да унесете ИМАП лозинку (ако је подржана). Све је ово сасвим нормално за клијента е-поште.

Међутим, када будете аутентификовани, појавиће вам се безопасан прозор који вас обавештава да користите у новој верзији Оутлоок-а, Мицрософт ће морати да синхронизује вашу е-пошту, догађаје и контакте са Мицрософт-ом Цлоуд. Доступна је опција отказивања, али не постоји опција да одбијете и наставите да користите свог клијента. А веза за подршку пружа се још неке информације које објашњавају да приступ омогућава функције као што је пошта претрагу, фокусирано пријемно сандуче или састанке који се понављају, али не даје јасну изјаву о границама ових података збирка.

Из овог упозорења, корисник може разумно претпоставити да ће клијент е-поште на који се пријављује настави да се понаша као клијент е-поште и да клијент може послати неке ограничене податке на обраду у облак. Међутим, то није случај. Уместо аутентификације вашег клијента е-поште, ваши акредитиви се прослеђују у Мицрософт облак, који врши аутентификацију у ваше име. Од ове тачке, сва обрада (укључујући преузимање ваших е-порука) се управља у облаку. Нисмо могли да приметимо никакав саобраћај који путује директно од клијента до нашег провајдера е-поште.

Ово важи и за ОАутх и ИМАП токове посла, али је највидљивије када се аутентификујете помоћу ИМАП сервера треће стране. У овом случају, Оутлоок клијент преузима ИМАП акредитиве које је обезбедио ваш добављач е-поште да би приступио апликацији и преноси их директно у Мицрософтов облак преко ТЛС-а. Ово бисмо могли да репродукујемо постављањем транспарентног проксија „човека у средини“ између интернета и Оутлоок клијента за пресретање шифрованог саобраћаја. На слици испод, наша лозинка за апликацију генерисана од независног добављача е-поште се дели и чува директно са Мицрософт серверима. Одговор на овај захтев је токен за приступ и освежавање који се користи за одржавање трајне аутентификоване сесије са Мицрософтовим серверима.

Да ли је то клијент е-поште или не?

Оутлоок (нови) ради мање локално него што мислите

Провајдер е-поште који користимо за овај пример бележи ИП адресу и време приступа сваке нове пријаве. Ако је Оутлоок клијент комуницирао директно са нашим сервером поште (тј. понашао се као што би клијент требао), онда би ИП адреса коју бележи добављач е-поште требало да буде иста као на рачунару на којем користимо Оутлоок на. У сваком случају када смо ово покушали, није забележена никаква веза са наше кућне ИП адресе. Уместо тога, почетне ИМАП/СМТП везе су долазиле са 52.к.к.к ИП адресе. Брза ВХОИС претрага показује да је ова ИП адреса регистрована код Мицрософта. Ово би показало да Оутлоок „клијент“ није ништа од те врсте, јер се у потпуности понаша као омотач око Мицрософтових услуга у облаку и да се наш локални клијент уопште никада није пријавио.

Оутлоок „клијент“ није ништа од те врсте, у потпуности се понаша као омотач око Мицрософтових услуга у облаку.

Овде постоји јасан проблем за корисника. Једноставним пријављивањем на нови Оутлоок клијент, корисник је ефективно обезбедио Мицрософт Цлоуд-у широк и неограничен приступ свом целом налогу е-поште. Једино Мицрософтово помињање приватности на повезаној страници за подршку је скуп веза до његове изјаве о приватности и уговори о услугама, од којих оба омогућавају потпуни приступ вашим подацима ради побољшања Мицрософт производа и услуге. Барем када се аутентификују помоћу ОАутх2, већина провајдера е-поште нуди неку врсту резимеа приватности (слично Гоогле-овом примеру испод). Када се аутентификује помоћу ИМАП-а, кориснику се обично даје још мање упозорења, при чему већина провајдера е-поште претпоставља да се „клијенти“ е-поште барем понашају као клијенти, а не капије ка облаку. Такође је важно напоменути да не постоји очигледан начин да одбијете ову интеграцију у облаку када се пријавите на било који налог е-поште или користите клијент у режиму са онемогућеним неким функцијама вештачке интелигенције.

Пребацивање функционалности клијента е-поште у облак такође уклања могућност безбедносних инжењера или истраживача да лако провере шта клијент ради. Могуће је пратити захтеве Мицрософта упућене вашим подацима (иако је тешко, јер би корисник морао да покрене сопствену е-пошту сервер са приступом својим евиденцијама), али ово не дозвољава било какву индикацију о томе колико додатне обраде, ако постоји, траје место. Такође је важно запамтити да је овај приступ у току. Више није могуће зауставити Мицрософтов приступ вашим имејловима једноставним затварањем Оутлоок-а. Корисници се могу пријавити у Оутлоок на својој радној површини да би га тестирали, одлучили да им се не свиђа и једноставно престали да га користе без одјављивања. Док се корисник не одјави (или опозове сесију на другом месту), Мицрософт ће задржати стални приступ њиховим подацима.

Опасни преседани за податке

Прикупљање података локалним клијентима може бити корак предалеко

Прикупљање података је, на крају крајева, нешто на шта смо сви навикли, хтели то или не. Међутим, забрињава недостатак транспарентног откривања података од стране Мицрософт-а и помоћ десктоп апликација за пребацивање података корисника у облак. Мицрософт-ови суптилно прихваћени уговори о лиценцирању омогућавају скоро неограничено прикупљање података за побољшање или креирање нових Мицрософт алата, укључујући коришћење ваших података е-поште за обуку генеративне вештачке интелигенције или други алати.

Ни у једном тренутку није јасно да ће апликација Оутлоок за десктоп деловати искључиво као омотач услуге у облаку или која су ограничења и околности под којима ће Мицрософт приступити вашим подацима у облак. С обзиром на обим Мицрософтовог притиска на нове интеграције АИ засноване на облаку и недостатак сигурности у супротном, разумно је претпоставити да Мицрософт можда користи ову врсту података за обуку или тестирање сврхе.

Недостатак транспарентног откривања података од стране Мицрософт-а и помоћ десктоп апликација за пребацивање података корисника у облак су забрињавајући.

Ово такође може бити озбиљан проблем за предузећа. Корпоративни крајњи корисник могао би несвесно да обезбеди Мицрософт-у приступ великим количинама пословних или комерцијално осетљивих података, вероватно у супротности са регулаторним или безбедносним захтевима. Ако су ови подаци тада коришћени за обуку генеративних АИ или других модела машинског учења који су јавно објављени, могуће је да би неки аспекти тих података могли да се појаве како би било ко приступио. Ово је екстреман сценарио, али је јасно у чему би могле бити забринутости.

Било да сте искусан корисник у послу, системски администратор који надгледа мрежу или крајњи корисник у потрази за новим клијентом е-поште, важно је знати импликације приватности пријављивања са Изгледи. Мицрософт, иако нуди откривање да ће синхронизовати податке са облаком, узима много више слободе него што би корисник разумно очекивао са обимом њиховог приступа и улогом клијента на све.