ไคลเอนต์ Outlook ใหม่ของ Microsoft จะย้ายอีเมลของคุณไปยังคลาวด์อย่างเงียบ ๆ

ไมโครซอฟต์เพิ่งเปิดตัว a Outlook เวอร์ชันใหม่ บน พีซีที่ใช้ Windows. ได้รับการออกแบบมาเพื่อแทนที่ Windows Mail รุ่นเก่าและ Outlook แบบคลาสสิก ดังนั้นจึงแนะนำเวอร์ชันใหม่ที่เรียบเนียน ออกแบบและบูรณาการระบบคลาวด์ที่เข้มงวดมากขึ้นในขณะที่รวมอีเมลและปฏิทินของคุณไว้ในที่เดียว แอป. นอกจากนี้ยังแนะนำฟีเจอร์ AI เจนเนอเรชั่นใหม่ รวมถึงความช่วยเหลือในการเขียนและ “ฟีเจอร์ AI ขั้นสูงอื่นๆ”

อย่างไรก็ตาม แอปนี้ยังมีข้อกังวลด้านความเป็นส่วนตัวที่ร้ายแรงบางประการอีกด้วย อ้างอิงจากการวิจัยจากบล็อกของเยอรมัน heise.deซึ่งเราสามารถทำซ้ำได้ที่ XDA ปรากฏว่าแอป Outlook ใหม่มีความแน่นแฟ้นยิ่งขึ้นมาก บูรณาการกับระบบคลาวด์มากกว่าที่ผู้ใช้คาดหวัง ซึ่งเปิดขอบเขตข้อมูล Microsoft ที่เป็นไปได้ ของสะสม. นี่แสดงถึงปัญหาความเป็นส่วนตัวที่สำคัญ ดังนั้นจึงมีคำถามมากมายที่ Microsoft ต้องตอบเกี่ยวกับความคาดหวังของผู้ใช้

สิ่งที่คุณคาดหวังได้จาก Outlook ใหม่

อีเมลยังคงเป็นอีเมลใช่ไหม?

Outlook เวอร์ชันใหม่พร้อมใช้งานตั้งแต่ต้นเดือนกันยายนและแนะนำฟีเจอร์ใหม่ๆ มากมาย แอพรวมอยู่แล้ว คุณสมบัติ Copilot AI ใหม่และ Microsoft ระบุว่าตั้งใจให้ Outlook เวอร์ชันใหม่มาแทนที่แอป Outlook ที่มีอยู่ภายในสองปี บริษัทยังได้ประกาศรายชื่อที่กว้างขึ้นของ คุณสมบัติที่จะเกิดขึ้นซึ่งมีแนวโน้มว่าจะประกาศในอีกไม่กี่เดือนข้างหน้า (โดยเฉพาะความสามารถด้าน AI) แอปใหม่นี้ยังมี UI แบบใหม่ซึ่งสอดคล้องกับแอป Office เวอร์ชันคลาวด์ของ Microsoft มากขึ้น รวมถึงการผสานรวมกับบริการ Office อื่น ๆ เช่นปฏิทินและ Word อย่างใกล้ชิดยิ่งขึ้น

Outlook เวอร์ชันใหม่พร้อมใช้งานบน Microsoft Store แล้วในชื่อ Outlook สำหรับ Windows เมื่อติดตั้งแล้ว แอปในเมนูเริ่มเป็น Outlook (ใหม่)

Outlook ใหม่มีพฤติกรรมที่เป็นปัญหา

คุณอาจไม่รู้ว่าคุณกำลังสมัครเพื่ออะไร

เมื่อเปิดไคลเอนต์ Outlook ใหม่เป็นครั้งแรก ระบบจะขอให้ผู้ใช้เข้าสู่ระบบเหมือนกับไคลเอนต์อีเมลอื่น ๆ หากคุณป้อนที่อยู่อีเมลกับผู้ให้บริการทั่วไป เช่น Gmail หรือ iCloud ไคลเอนต์จะใช้เวิร์กโฟลว์ Oauth2 เพื่อตรวจสอบสิทธิ์กับเบราว์เซอร์ของคุณ หากคุณป้อนโดเมนบุคคลที่สาม คุณจะได้รับแจ้งให้ใส่รหัสผ่าน IMAP (หากรองรับ) นี่เป็นเรื่องปกติมากสำหรับโปรแกรมรับส่งเมล

อย่างไรก็ตาม เมื่อคุณได้รับการรับรองความถูกต้องแล้ว คุณจะเห็นหน้าต่างที่ไม่เป็นอันตรายแจ้งให้คุณทราบว่าควรใช้ Microsoft จะต้องซิงค์อีเมล กิจกรรม และที่อยู่ติดต่อของคุณกับ Microsoft ใน Outlook เวอร์ชันใหม่ คลาวด์. มีตัวเลือกในการยกเลิก แต่ไม่มีตัวเลือกให้ปฏิเสธและใช้ไคลเอ็นต์ของคุณต่อไป ก ลิงค์สนับสนุน ได้รับข้อมูลเพิ่มเติมบางส่วน ซึ่งอธิบายว่าการเข้าถึงช่วยให้คุณลักษณะต่างๆ เช่น เมล ค้นหา กล่องจดหมายที่เน้น หรือการประชุมที่เกิดซ้ำ แต่ไม่มีการระบุขีดจำกัดของข้อมูลนี้อย่างชัดเจน ของสะสม.

จากคำเตือนนี้ ผู้ใช้อาจสันนิษฐานตามสมควรว่าโปรแกรมรับส่งเมลที่ตนลงชื่อเข้าใช้จะประสงค์ ทำหน้าที่เป็นไคลเอนต์อีเมลต่อไปและไคลเอนต์อาจส่งข้อมูลที่จำกัดบางส่วนเพื่อการประมวลผลใน คลาวด์. อย่างไรก็ตามนั่นไม่ใช่กรณี แทนที่จะให้ไคลเอ็นต์อีเมลตรวจสอบสิทธิ์ ข้อมูลประจำตัวของคุณจะถูกส่งไปยังระบบคลาวด์ของ Microsoft ซึ่งจะตรวจสอบสิทธิ์ในนามของคุณ จากจุดนี้ การประมวลผลทั้งหมด (รวมถึงการดึงอีเมลของคุณ) จะได้รับการจัดการในระบบคลาวด์ เราไม่สามารถสังเกตการรับส่งข้อมูลที่เดินทางจากไคลเอนต์ไปยังผู้ให้บริการอีเมลของเราโดยตรง

สิ่งนี้เกิดขึ้นกับทั้งเวิร์กโฟลว์ OAuth และ IMAP แต่จะมองเห็นได้ชัดเจนที่สุดเมื่อตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ IMAP ของบริษัทอื่น ในกรณีนี้ ไคลเอนต์ Outlook จะใช้ข้อมูลรับรอง IMAP ที่ผู้ให้บริการอีเมลของคุณให้มาเพื่อเข้าถึงแอปพลิเคชันและถ่ายโอนโดยตรงไปยังคลาวด์ของ Microsoft ผ่าน TLS เราสามารถทำซ้ำสิ่งนี้ได้โดยการตั้งค่าพร็อกซีแบบแทรกกลางที่โปร่งใสระหว่างอินเทอร์เน็ตและไคลเอนต์ Outlook เพื่อสกัดกั้นการรับส่งข้อมูลที่เข้ารหัส ในภาพหน้าจอด้านล่าง รหัสผ่านแอปของเราที่สร้างจากผู้ให้บริการอีเมลบุคคลที่สามจะถูกแชร์และจัดเก็บโดยตรงกับเซิร์ฟเวอร์ของ Microsoft การตอบสนองต่อคำขอนี้คือโทเค็นการเข้าถึงและรีเฟรชที่ใช้เพื่อรักษาเซสชันการตรวจสอบสิทธิ์แบบถาวรกับเซิร์ฟเวอร์ของ Microsoft

มันเป็นไคลเอนต์อีเมลหรือไม่?

Outlook (ใหม่) ทำงานได้น้อยกว่าที่คุณคิด

ผู้ให้บริการอีเมลที่เราใช้สำหรับตัวอย่างนี้จะบันทึกที่อยู่ IP และเวลาการเข้าถึงของการเข้าสู่ระบบใหม่แต่ละครั้ง หากไคลเอ็นต์ Outlook กำลังสื่อสารโดยตรงกับเซิร์ฟเวอร์อีเมลของเรา (เช่น ทำหน้าที่อย่างที่ไคลเอ็นต์ควรทำ) ที่อยู่ IP ที่ผู้ให้บริการอีเมลบันทึกไว้ควรเหมือนกับคอมพิวเตอร์ที่เราใช้ Outlook บน. ในแต่ละกรณีที่เราลองทำเช่นนี้ ไม่มีการบันทึกการเชื่อมต่อจากที่อยู่ IP ที่บ้านของเรา แต่การเชื่อมต่อ IMAP/SMTP เริ่มต้นมาจากที่อยู่ IP 52.x.x.x การค้นหา WHOIS อย่างรวดเร็วแสดงให้เห็นว่าที่อยู่ IP นี้ลงทะเบียนกับ Microsoft นี่จะแสดงให้เห็นว่า "ไคลเอนต์" ของ Outlook นั้นไม่มีอะไรเลย โดยทำหน้าที่เป็นตัวห่อหุ้มบริการคลาวด์ของ Microsoft และไคลเอนต์ในพื้นที่ของเราไม่เคยเข้าสู่ระบบเลย

"ไคลเอนต์" ของ Outlook นั้นไม่มีอะไรเลย โดยทำหน้าที่เป็นตัวห่อหุ้มบริการคลาวด์ของ Microsoft ทั้งหมด

มีปัญหาที่ชัดเจนสำหรับผู้ใช้ที่นี่ เพียงลงชื่อเข้าใช้ไคลเอนต์ Outlook ใหม่ ผู้ใช้ก็สามารถให้ Microsoft Cloud เข้าถึงบัญชีอีเมลทั้งหมดได้อย่างครอบคลุมและไม่จำกัด การกล่าวถึงความเป็นส่วนตัวเพียงอย่างเดียวของ Microsoft ในหน้าสนับสนุนที่เชื่อมโยงคือชุดลิงก์ไปยังคำชี้แจงสิทธิ์ส่วนบุคคลและ ข้อตกลงการบริการ ซึ่งทั้งสองข้อตกลงอนุญาตให้มีการเข้าถึงข้อมูลของคุณแบบครอบคลุมเพื่อปรับปรุงผลิตภัณฑ์ของ Microsoft และ บริการ อย่างน้อยที่สุดเมื่อตรวจสอบสิทธิ์กับ OAuth2 ผู้ให้บริการอีเมลส่วนใหญ่เสนอสรุปความเป็นส่วนตัวบางประเภท (คล้ายกับตัวอย่างจาก Google ด้านล่าง) เมื่อตรวจสอบสิทธิ์ด้วย IMAP โดยปกติแล้วผู้ใช้จะได้รับคำเตือนน้อยลงด้วยซ้ำ โดยผู้ให้บริการอีเมลส่วนใหญ่ถือว่าอีเมล "ไคลเอนต์" อย่างน้อยก็ทำหน้าที่เป็นไคลเอนต์ ไม่ใช่เกตเวย์ไปยังระบบคลาวด์ สิ่งสำคัญที่ควรทราบคือไม่มีวิธีที่ชัดเจนในการปฏิเสธการรวมระบบคลาวด์นี้เมื่อลงชื่อเข้าใช้บัญชีอีเมลใดๆ หรือใช้ไคลเอนต์ในโหมดที่ปิดใช้งานคุณสมบัติ AI บางอย่าง

การลดภาระการทำงานของไคลเอ็นต์ของอีเมลไปยังระบบคลาวด์ยังทำให้วิศวกรด้านความปลอดภัยหรือนักวิจัยสามารถตรวจสอบสิ่งที่ลูกค้ากำลังทำอยู่ได้อย่างง่ายดายอีกด้วย เป็นไปได้ที่จะติดตามคำขอที่ทำกับข้อมูลของคุณจาก Microsoft (แม้ว่าจะยุ่งยาก เนื่องจากผู้ใช้จะต้องเรียกใช้อีเมลของตนเอง เซิร์ฟเวอร์ที่สามารถเข้าถึงบันทึกได้) แต่ไม่อนุญาตให้มีการบ่งชี้ใดๆ ว่ามีการประมวลผลเพิ่มเติมมากน้อยเพียงใด (ถ้ามี) สถานที่. สิ่งสำคัญคือต้องจำไว้ว่าการเข้าถึงนี้ยังคงดำเนินอยู่ ไม่สามารถหยุดการเข้าถึงอีเมลของ Microsoft ของคุณได้อีกต่อไปโดยเพียงแค่ปิด Outlook ผู้ใช้สามารถเข้าสู่ระบบ Outlook บนเดสก์ท็อปเพื่อทดสอบ ตัดสินใจว่าไม่ชอบ และหยุดใช้งานโดยไม่ต้องออกจากระบบ จนกว่าผู้ใช้จะออกจากระบบ (หรือเพิกถอนเซสชันในที่อื่น) Microsoft จะยังคงเข้าถึงข้อมูลของตนได้อย่างต่อเนื่อง

แบบอย่างที่เป็นอันตรายสำหรับข้อมูล

การรวบรวมข้อมูล Shoehorning ไปยังลูกค้าในพื้นที่อาจเป็นก้าวที่ไกลเกินไป

ในที่สุดการรวบรวมข้อมูลก็เป็นสิ่งที่เราคุ้นเคย ไม่ว่าเราจะชอบหรือไม่ก็ตาม อย่างไรก็ตาม การขาดการเปิดเผยข้อมูลอย่างโปร่งใสจาก Microsoft และการแบกแอปเดสก์ท็อปเพื่อนำข้อมูลของผู้ใช้เข้าสู่ระบบคลาวด์เป็นเรื่องที่น่ากังวล ข้อตกลงใบอนุญาตที่ยอมรับอย่างละเอียดของ Microsoft อนุญาตให้รวบรวมข้อมูลได้เกือบไม่จำกัดสำหรับ การปรับปรุงหรือการสร้างเครื่องมือ Microsoft ใหม่ รวมถึงการใช้ข้อมูลอีเมลของคุณเพื่อฝึกอบรม AI เชิงสร้างสรรค์หรือ เครื่องมืออื่นๆ

ยังไม่ชัดเจนว่าแอป Outlook บนเดสก์ท็อปจะทำหน้าที่เป็นตัวห่อหุ้มโดยเฉพาะ บริการคลาวด์หรือข้อจำกัดและสถานการณ์ที่ Microsoft จะเข้าถึงข้อมูลของคุณ คลาวด์. เมื่อพิจารณาถึงขอบเขตของการผลักดันของ Microsoft ไปสู่การบูรณาการ AI บนคลาวด์แบบใหม่ และการขาดความมั่นใจ มิฉะนั้น ก็สมเหตุสมผลที่จะถือว่า Microsoft อาจใช้ข้อมูลประเภทนี้เพื่อการฝึกอบรมหรือการทดสอบ วัตถุประสงค์

การขาดการเปิดเผยข้อมูลอย่างโปร่งใสจาก Microsoft และการสนับสนุนแอปเดสก์ท็อปเพื่อนำข้อมูลของผู้ใช้เข้าสู่ระบบคลาวด์เป็นเรื่องที่น่ากังวล

นี่อาจเป็นปัญหาร้ายแรงสำหรับธุรกิจด้วย ผู้ใช้ระดับองค์กรอาจให้ Microsoft เข้าถึงข้อมูลธุรกิจหรือข้อมูลที่ละเอียดอ่อนเชิงพาณิชย์จำนวนมากโดยไม่เจตนา ซึ่งอาจฝ่าฝืนข้อกำหนดด้านกฎระเบียบหรือความปลอดภัย หากข้อมูลนี้ถูกนำมาใช้ในการฝึกอบรม AI แบบกำเนิดหรือโมเดลการเรียนรู้ของเครื่องอื่นๆ ที่เผยแพร่ต่อสาธารณะ อาจเป็นไปได้ว่าข้อมูลบางส่วนอาจถูกแสดงให้ใครก็ตามเข้าถึงได้ นี่เป็นสถานการณ์ที่รุนแรง แต่ก็ชัดเจนว่าข้อกังวลอาจอยู่ที่จุดใด

ไม่ว่าคุณจะเป็นผู้ใช้ระดับสูงในธุรกิจ ผู้ดูแลระบบที่ดูแลเครือข่าย หรือผู้ใช้ปลายทาง กำลังมองหาไคลเอนต์อีเมลใหม่ สิ่งสำคัญคือต้องทราบผลกระทบด้านความเป็นส่วนตัวของการลงชื่อเข้าใช้ด้วย แนวโน้ม Microsoft เสนอการเปิดเผยข้อมูลว่าจะซิงค์ข้อมูลกับระบบคลาวด์ แต่กลับยิ่งใหญ่กว่ามาก เสรีภาพเกินกว่าที่ผู้ใช้คาดหวังตามขอบเขตการเข้าถึงและบทบาทของลูกค้า ทั้งหมด.