Microsoft'un yeni Outlook istemcisi e-postanızı sessizce buluta taşıyor

Microsoft'un yeni Outlook sürümü bazı tartışmalı veri paylaşım özelliklerini sunuyor

Hızlı Linkler

  • Yeni Outlook'tan neler bekleyebilirsiniz?
  • Yeni Outlook'un sorunlu davranışı var
  • Bir e-posta istemcisi mi, değil mi?
  • Veriler için tehlikeli emsaller

Microsoft yakın zamanda bir tanıtım yaptı Outlook'un yeni sürümü Açık Windows PC'leri. Eskiyen Windows Mail ve klasik Outlook'un yerini alacak şekilde tasarlandı, bu nedenle yeni ve şık bir görünüm sunuyor. E-postanızı ve takviminizi tek bir yerde birleştirirken bulut entegrasyonlarını tasarlayın ve önemli ölçüde sıkılaştırın uygulama. Ayrıca yazma yardımları ve "diğer gelişmiş yapay zeka özellikleri" dahil olmak üzere yeni üretken yapay zeka özelliklerini de sunuyor.

Ancak uygulama aynı zamanda bazı ciddi gizlilik endişelerini de beraberinde getiriyor. Alman blogundan yapılan araştırmaya dayanmaktadır heise.deXDA'da çoğaltabildiğimiz gibi, yeni Outlook uygulamasının çok daha sıkı olduğu anlaşılıyor. bulutla kullanıcının beklediğinden daha entegre hale gelerek potansiyel Microsoft verilerinin kapsamını açıyor Toplamak. Bu önemli bir gizlilik sorununu temsil ediyor, dolayısıyla Microsoft'un kullanıcı beklentileriyle ilgili yanıtlaması gereken pek çok soru var.

Yeni Outlook'tan neler bekleyebilirsiniz?

E-posta hala e-postadır, değil mi?

Outlook'un yeni sürümü Eylül başından bu yana kullanıma sunuldu ve bir dizi yeni özellik sunuyor. Uygulama zaten içeriyor yeni Copilot AI özellikleriMicrosoft, Outlook'un yeni sürümünün iki yıl içinde mevcut Outlook uygulamasının yerini almayı planladığını belirtti. Şirket ayrıca daha geniş bir liste de duyurdu. gelecek özelliklerbüyük olasılıkla önümüzdeki aylarda açıklanacak (özellikle yapay zeka yetenekleriyle ilgili). Yeni uygulama aynı zamanda Microsoft'un ofis uygulamalarının bulut sürümleriyle daha uyumlu hale getiren ve Takvim ve Word gibi diğer Office hizmetleriyle daha sıkı entegrasyon sağlayan yeni bir kullanıcı arayüzüne sahip.

Outlook'un yeni sürümü artık Windows için Outlook olarak Microsoft Store'da mevcut. Uygulama yüklendikten sonra başlat menüsünde Outlook (yeni) olarak görüntülenir.

Yeni Outlook'un sorunlu davranışı var

Neye kaydolduğunuzun farkında olmayabilirsiniz

Outlook Masaüstü Gmail istemcisinden gelen gizlilik uyarısını gösteren ekran görüntüsü.

Yeni Outlook istemcisini ilk kez açarken, kullanıcıdan diğer e-posta istemcilerinde olduğu gibi oturum açması istenir. Gmail veya iCloud gibi ortak bir sağlayıcıya ait bir e-posta adresi girerseniz istemci, tarayıcınızda kimlik doğrulaması yapmak için bir Oauth2 iş akışı kullanır. Üçüncü taraf bir alan adı girerseniz bir IMAP şifresi girmeniz istenir (destekleniyorsa). Bir e-posta istemcisi için bunların hepsi çok normaldir.

Ancak, kimliğiniz doğrulandıktan sonra size bunu kullanmanız gerektiğini bildiren zararsız bir pencere sunulur. Outlook'un yeni sürümünde Microsoft'un e-postalarınızı, etkinliklerinizi ve kişilerinizi Microsoft ile senkronize etmesi gerekecek Bulut. İptal seçeneği mevcuttur ancak reddedip istemcinizi kullanmaya devam etme seçeneği yoktur. A destek bağlantısı erişimin posta gibi özellikleri etkinleştirdiğini açıklayan daha fazla bilgi sağlanır. arama, odaklanmış bir gelen kutusu veya yinelenen toplantılar, ancak bu verilerin sınırları konusunda net bir açıklama yok Toplamak.

Kaynak: Microsoft

Bu uyarıya göre kullanıcı, oturum açtığı e-posta istemcisinin makul bir şekilde e-posta istemcisi olarak hareket etmeye devam edeceğini ve istemcinin işlenmek üzere bazı sınırlı verileri gönderebileceğini bulut. Ancak durum böyle değil. E-posta istemcinizin kimlik doğrulaması yerine, kimlik bilgileriniz sizin adınıza kimlik doğrulaması yapan Microsoft bulutuna aktarılır. Bu noktadan itibaren tüm işlemler (e-postalarınızın alınması dahil) bulutta gerçekleştirilir. İstemciden doğrudan e-posta sağlayıcımıza giden herhangi bir trafik gözlemleyemedik.

Bu, hem OAuth hem de IMAP iş akışları için geçerlidir ancak en çok üçüncü taraf bir IMAP sunucusuyla kimlik doğrulaması yapılırken görülür. Bu durumda Outlook istemcisi, uygulamaya erişmek için e-posta sağlayıcınız tarafından sağlanan IMAP kimlik bilgilerini alır ve bunları TLS üzerinden doğrudan Microsoft'un bulutuna aktarır. Şifreli trafiği engellemek için internet ile Outlook İstemcisi arasında şeffaf bir ortadaki adam proxy'si kurarak bunu yeniden üretebiliriz. Aşağıdaki ekran görüntüsünde, üçüncü taraf bir e-posta sağlayıcısı tarafından oluşturulan uygulama şifremiz doğrudan Microsoft'un sunucularıyla paylaşılıyor ve saklanıyor. Bu isteğe verilen yanıt, Microsoft sunucularında kimliği doğrulanmış kalıcı bir oturumu sürdürmek için kullanılan bir erişim ve yenileme belirtecidir.

Bir e-posta istemcisi mi, değil mi?

Outlook (yeni) yerel olarak düşündüğünüzden daha az şey yapar

Bu örnek için kullandığımız e-posta sağlayıcısı, her yeni oturum açma işleminin IP adresini ve erişim süresini kaydeder. Outlook istemcisi doğrudan posta sunucumuzla iletişim kuruyorsa (yani bir istemcinin yapması gerektiği gibi davranıyorsa), o zaman e-posta sağlayıcısının kaydettiği IP adresi, Outlook'u çalıştırdığımız bilgisayarla aynı olmalıdır Açık. Bunu denediğimiz her durumda, ev IP adresimizden hiçbir bağlantı kaydedilmedi. Bunun yerine, ilk IMAP/SMTP bağlantıları 52.x.x.x IP adresinden geldi. Hızlı bir WHOIS araması, bu IP adresinin Microsoft'a kayıtlı olduğunu gösterir. Bu, Outlook "istemcisinin" hiçbir şekilde Microsoft'un bulut hizmetleri etrafında bir sarmalayıcı görevi gördüğünü ve yerel istemcimizin gerçekte hiç oturum açmadığını gösterir.

Outlook "istemcisi" hiçbir şekilde Microsoft'un bulut hizmetlerini saran bir paketleyici görevi görmüyor.

Burada kullanıcı açısından bariz bir sorun var. Bir kullanıcı, yalnızca yeni Outlook istemcisinde oturum açarak Microsoft Bulut'a etkili bir şekilde tüm e-posta hesabına genel ve sınırsız erişim sağlamış oldu. Microsoft'un bağlantılı destek sayfasında gizlilikten bahsettiği tek şey, gizlilik bildirimine giden bir dizi bağlantıdır ve Her ikisi de Microsoft ürünlerini geliştirmek için verilerinize genel erişime izin veren hizmet sözleşmeleri ve Hizmetler. En azından OAuth2 ile kimlik doğrulaması yaparken çoğu e-posta sağlayıcısı bir tür gizlilik özeti sunar (aşağıdaki Google örneğine benzer). IMAP ile kimlik doğrulaması yapılırken, çoğu e-posta sağlayıcısının e-posta "istemcilerinin" buluta ağ geçidi olarak değil, en azından istemci olarak hareket ettiğini varsaymasıyla, kullanıcıya normalde daha da az uyarı verilir. Herhangi bir e-posta hesabında oturum açarken veya istemciyi bazı yapay zeka özelliklerinin devre dışı olduğu bir modda kullanırken bu bulut entegrasyonunu reddetmenin açık bir yolu olmadığını da unutmamak gerekir.

E-postanın istemci işlevselliğinin buluta aktarılması, güvenlik mühendislerinin veya araştırmacıların müşterinin ne yaptığını kolayca denetleme yeteneğini de ortadan kaldırır. Verileriniz üzerinde Microsoft'tan yapılan istekleri takip etmek mümkündür (her ne kadar zor olsa da, kullanıcının kendi e-postasını çalıştırması gerekeceğinden) günlüklerine erişimi olan bir sunucu), ancak bu, eğer varsa, ne kadar ek işlem yapıldığına dair herhangi bir göstergeye izin vermez yer. Bu erişimin devam ettiğini de unutmamak gerekir. Yalnızca Outlook'u kapatarak Microsoft'un e-postalarınıza erişimini durdurmak artık mümkün değil. Kullanıcılar, denemek, beğenmediklerine karar vermek ve oturumu kapatmadan Outlook'u kullanmayı bırakmak için masaüstü bilgisayarlarından Outlook'ta oturum açabilirler. Kullanıcı oturumunu kapatana kadar (veya oturumu başka bir yerde iptal edene kadar) Microsoft, kullanıcıların verilerine erişimini sürdürecektir.

Veriler için tehlikeli emsaller

Yerel müşterilere ayakkabı çekeceği veri toplamak çok ileri bir adım olabilir

Veri toplama sonuçta beğensek de beğenmesek de hepimizin alışık olduğu bir şey. Ancak Microsoft'un burada şeffaf bir açıklama yapmaması ve kullanıcıların verilerini buluta taşımak için masaüstü uygulamalarının desteklenmesi endişe verici. Microsoft'un incelikli bir şekilde kabul edilen lisans anlaşmaları, neredeyse sınırsız veri toplanmasına olanak tanır. Üretken yapay zekayı eğitmek için e-posta verilerinizi kullanmak da dahil olmak üzere yeni Microsoft araçlarının geliştirilmesi veya oluşturulması veya diğer Aletler.

Outlook masaüstü uygulamasının özel olarak bir sarmalayıcı görevi göreceği hiçbir noktada açıklanmadı bulut hizmetleri veya Microsoft'un verilerinize erişeceği sınırlar ve koşullar nelerdir? bulut. Microsoft'un yeni bulut tabanlı yapay zeka entegrasyonlarına yönelik çabalarının kapsamı ve güvence eksikliği göz önüne alındığında aksi takdirde Microsoft'un bu tür verileri eğitim veya test amacıyla kullanıyor olabileceğini varsaymak mantıklı olacaktır. amaçlar.

Burada Microsoft'un şeffaf bir açıklama yapmaması ve kullanıcıların verilerini buluta taşımak için masaüstü uygulamalarının desteklenmesi endişe verici.

Bu durum işletmeler için de ciddi bir sorun olabilir. Kurumsal bir son kullanıcı, muhtemelen düzenleme veya güvenlik gerekliliklerini ihlal ederek farkında olmadan Microsoft'un büyük hacimli iş veya ticari açıdan hassas verilere erişmesini sağlayabilir. Bu veriler daha sonra üretken yapay zekaları veya kamuya açıklanan diğer makine öğrenimi modellerini eğitmek için kullanıldıysa, bu verilerin bazı yönlerinin herkesin erişimine açık hale gelmesi mümkündür. Bu aşırı bir senaryo, ancak endişelerin nerede olabileceği açık.

İster iş dünyasında uzman bir kullanıcı olun, ister ağı denetleyen bir sistem yöneticisi, ister son kullanıcı olun yeni bir e-posta istemcisi arıyorsanız, onunla oturum açmanın gizlilik açısından doğuracağı sonuçları bilmek önemlidir Görünüm. Microsoft, verileri bulutla senkronize edeceğine dair bir açıklama sunarken, çok daha fazlasını alıyor erişimlerinin kapsamı ve müşterinin buradaki rolüyle ilgili olarak bir kullanıcının makul olarak bekleyebileceğinden daha fazla özgürlükler Tümü.