Microsofts nya Outlook-klient flyttar tyst din e-post till molnet

Microsoft introducerade nyligen en ny version av Outlook på Windows-datorer. Det designades för att ersätta det åldrande Windows Mail och det klassiska Outlook, så det introducerar en snygg nyhet design och betydligt tightare molnintegrationer samtidigt som du kombinerar din e-post och kalender till ett app. Den introducerar också nya generativa AI-funktioner, inklusive skrivhjälp och "andra avancerade AI-funktioner."

Men appen introducerar också några allvarliga integritetsproblem. Baserat på forskning från den tyska bloggen heise.de, som vi har kunnat reproducera på XDA, verkar det som att den nya Outlook-appen är mycket mer tät integrerad med molnet än vad en användare kan förvänta sig, vilket öppnar upp omfattningen av potentiella Microsoft-data samling. Detta representerar en betydande integritetsfråga, så det finns många frågor som Microsoft behöver svara på om användarnas förväntningar.

Vad du kan förvänta dig av nya Outlook

E-post är fortfarande e-post, eller hur?

Den nya versionen av Outlook har varit tillgänglig sedan början av september och introducerar en rad nya funktioner. Appen innehåller redan nya Copilot AI-funktioner, och Microsoft har uppgett att den avser att den nya versionen av Outlook ska ersätta den befintliga Outlook-appen inom två år. Företaget har också annonserat en bredare lista över kommande funktioner, som sannolikt kommer att tillkännages under de kommande månaderna (särskilt kring AI-kapacitet). Den nya appen har också ett nytt användargränssnitt, vilket gör det mer i linje med Microsofts molnversioner av kontorsappar, samt stramare integration med andra Office-tjänster som Calendar och Word.

Den nya versionen av Outlook är tillgänglig på Microsoft Store nu som Outlook för Windows. När den är installerad, appen i startmenyn som Outlook (ny).

Den nya Outlook har problematiskt beteende

Du kanske inte inser vad du registrerar dig för

När du öppnar den nya Outlook-klienten för första gången uppmanas användaren att logga in ungefär som alla andra e-postklienter. Om du anger en e-postadress med en vanlig leverantör, som Gmail eller iCloud, kommer klienten att använda ett Oauth2-arbetsflöde för att autentisera med din webbläsare. Om du anger en tredjepartsdomän kommer du att bli ombedd att ange ett IMAP-lösenord (om det stöds). Allt detta är mycket normalt för en e-postklient.

Men när du väl har autentiserats, visas ett ofarligt fönster som informerar dig om att du ska använda den nya versionen av Outlook kommer Microsoft att behöva synkronisera dina e-postmeddelanden, händelser och kontakter med Microsoft Moln. Ett avbrytningsalternativ är tillgängligt, men det finns inget alternativ att vägra och fortsätta använda din klient. A supportlänk är försedd med lite mer information, vilket förklarar att åtkomsten möjliggör funktioner som e-post sökning, en fokuserad inkorg eller återkommande möten, men gör inget tydligt uttalande om gränserna för denna data samling.

Utifrån denna varning kan en användare rimligen anta att e-postklienten de loggar in på kommer att göra fortsätta att agera som en e-postklient och att klienten kan skicka vissa begränsade data för bearbetning i moln. Så är dock inte fallet. Istället för att din e-postklient autentiseras skickas dina autentiseringsuppgifter till Microsofts moln, som autentiserar på dina vägnar. Från denna punkt hanteras all bearbetning (inklusive hämtning av dina e-postmeddelanden) i molnet. Vi kunde inte observera någon trafik som gick direkt från klienten till vår e-postleverantör.

Detta gäller både OAuth- och IMAP-arbetsflöden, men är mest synligt vid autentisering med en IMAP-server från tredje part. I det här fallet tar Outlook-klienten IMAP-uppgifterna från din e-postleverantör för att komma åt programmet och överför dem direkt till Microsofts moln över TLS. Vi skulle kunna återskapa detta genom att sätta upp en genomskinlig man-in-the-midten proxy mellan internet och Outlook-klienten för att fånga upp krypterad trafik. I skärmdumpen nedan delas och lagras vårt applösenord som genererats från en tredje parts e-postleverantör direkt med Microsofts servrar. Svaret på denna begäran är en åtkomst- och uppdateringstoken som används för att upprätthålla en beständig autentiserad session med Microsofts servrar.

Är det en e-postklient eller inte?

Outlook (ny) gör mindre lokalt än man kan tro

E-postleverantören vi använder för det här exemplet registrerar IP-adressen och åtkomsttiden för varje ny inloggning. Om Outlook-klienten kommunicerade direkt med vår e-postserver (dvs. agerade som en klient borde), då bör IP-adressen som e-postleverantören registrerar vara densamma som datorn vi kör Outlook på. I varje fall vi försökte detta, registrerades ingen anslutning från vår hem-IP-adress. Istället kom de första IMAP/SMTP-anslutningarna från en 52.x.x.x IP-adress. En snabb WHOIS-sökning visar att denna IP-adress är registrerad hos Microsoft. Detta skulle visa att Outlook-"klienten" inte är något sådant, den fungerar helt som ett omslag runt Microsofts molntjänster och att vår lokala klient faktiskt aldrig har loggat in alls.

Outlook-"klienten" är inget sådant, den fungerar helt som ett omslag runt Microsofts molntjänster.

Det finns ett tydligt problem för användaren här. Genom att helt enkelt logga in på den nya Outlook-klienten har en användare effektivt försett Microsoft Cloud med en filt och obegränsad åtkomst till hela sitt e-postkonto. Microsofts enda omnämnande av sekretess på den länkade supportsidan är en uppsättning länkar till dess sekretesspolicy och serviceavtal, som båda tillåter generell åtkomst till dina data för att förbättra Microsofts produkter och tjänster. Åtminstone vid autentisering med OAuth2 erbjuder de flesta e-postleverantörer någon form av sekretesssammanfattning (liknande exemplet från Google nedan). Vid autentisering med IMAP ges en användare normalt ännu mindre varning, där de flesta e-postleverantörer antar att "e-postklienter" åtminstone agerar som klienter, inte gateways till molnet. Det är också viktigt att notera att det inte finns något självklart sätt att avböja denna molnintegrering när du loggar in på ett e-postkonto eller använder klienten i ett läge med vissa AI-funktioner inaktiverade.

Avlastningen av klientfunktionaliteten för e-post till molnet tar också bort möjligheten för säkerhetsingenjörer eller forskare att enkelt inspektera vad klienten gör. Det är möjligt att spåra förfrågningar som görs på din data från Microsoft (även om det är knepigt, eftersom en användare skulle behöva köra sin egen e-post server med åtkomst till sina loggar), men detta tillåter inte någon indikation på hur mycket ytterligare bearbetning, om någon, tar plats. Det är också viktigt att komma ihåg att denna åtkomst pågår. Det är inte längre möjligt att stoppa Microsofts åtkomst till dina e-postmeddelanden genom att helt enkelt stänga Outlook. Användare kan logga in på Outlook på sitt skrivbord för att testa det, bestämma sig för att de inte gillar det och helt enkelt sluta använda det utan att logga ut. Tills användaren loggar ut (eller återkallar sessionen någon annanstans), kommer Microsoft att behålla den löpande åtkomsten till sina data.

Farliga prejudikat för data

Att skohornsdatainsamling till lokala kunder kan vara ett steg för långt

Datainsamling är i slutändan något vi alla är vana vid, oavsett om vi gillar det eller inte. Men bristen på transparent avslöjande här från Microsoft och piggybacking av stationära appar för att få användarnas data till molnet är oroande. Microsofts subtilt accepterade licensavtal tillåter nästan obegränsad datainsamling för förbättring eller skapande av nya Microsoft-verktyg, inklusive att använda din e-postdata för att träna generativ AI eller andra verktyg.

Det har inte klargjorts vid något tillfälle att Outlook-skrivbordsappen uteslutande kommer att fungera som ett omslag molntjänster eller under vilka gränser och omständigheter Microsoft kommer att komma åt dina data i moln. Med tanke på omfattningen av Microsofts satsning på nya molnbaserade AI-integrationer och bristen på säkerhet Annars är det rimligt att anta att Microsoft kan använda den här typen av data för utbildning eller testning syften.

Bristen på transparent avslöjande här från Microsoft och piggybacking av stationära appar för att få användarnas data till molnet är oroande.

Detta kan också vara ett allvarligt problem för företag. En företagsslutanvändare kan omedvetet ge Microsoft åtkomst till stora volymer affärs- eller kommersiellt känsliga data, möjligen i strid med lagar eller säkerhetskrav. Om denna data sedan användes för att träna generativa AI: er eller andra maskininlärningsmodeller som släpps offentligt, är det möjligt att vissa aspekter av denna data kan dyka upp för vem som helst att komma åt. Detta är ett extremt scenario, men det är uppenbart var oro kan ligga.

Oavsett om du är en avancerad användare i affärer, en systemadministratör som övervakar ett nätverk eller en slutanvändare letar du efter en ny e-postklient är det viktigt att känna till integritetskonsekvenserna av att logga in med Syn. Microsoft, samtidigt som de erbjuder ett avslöjande att det kommer att synkronisera data till molnet, tar mycket mer friheter än en användare rimligen kan förvänta sig med omfattningen av deras åtkomst och klientens roll vid Allt.