Нова версія Outlook від Microsoft представляє деякі суперечливі функції обміну даними
Швидкі посилання
- Що ви можете очікувати від нового Outlook
- Новий Outlook має проблеми
- Це поштовий клієнт чи ні?
- Небезпечні прецеденти для даних
Microsoft нещодавно представила a нова версія Outlook на ПК з Windows. Він був розроблений, щоб замінити застарілу Windows Mail і класичний Outlook, тому він представляє витончену нову дизайн і значно тісніша хмарна інтеграція, одночасно поєднуючи вашу електронну пошту та календар в одне ціле додаток Він також представляє нові генеративні функції штучного інтелекту, включаючи допомогу при написанні та «інші вдосконалені функції штучного інтелекту».
Однак програма також створює серйозні проблеми щодо конфіденційності. На основі дослідження з німецького блогу heise.de, який ми змогли відтворити на XDA, схоже, що новий додаток Outlook набагато жорсткіше інтегровано з хмарою, ніж користувач може очікувати, відкриваючи сферу потенційних даних Microsoft колекція. Це є серйозною проблемою конфіденційності, тому Microsoft має відповісти на багато запитань щодо очікувань користувачів.
Що ви можете очікувати від нового Outlook
Електронна пошта залишається електронною поштою, чи не так?
Нова версія Outlook доступна з початку вересня та містить низку нових функцій. Додаток уже містить нові функції ШІ Copilot, і Microsoft заявила, що має намір, щоб нова версія Outlook замінила існуючу програму Outlook протягом двох років. Компанія також оголосила розширений список майбутні функції, який, ймовірно, буде оголошено в найближчі місяці (зокрема, щодо можливостей ШІ). Нова програма також має оновлений інтерфейс користувача, який більше відповідає хмарним версіям офісних програм Microsoft, а також більш тісну інтеграцію з іншими службами Office, такими як Calendar і Word.
Нова версія Outlook тепер доступна в Microsoft Store як Outlook для Windows. Після встановлення додаток у меню «Пуск» має вигляд Outlook (новий).
Новий Outlook має проблеми
Ви можете не усвідомлювати, на що підписуєтеся
Під час першого відкриття нового клієнта Outlook користувачеві пропонується ввійти, як і будь-який інший клієнт електронної пошти. Якщо ви введете адресу електронної пошти зі звичайним постачальником, наприклад Gmail або iCloud, клієнт використовуватиме робочий процес Oauth2 для автентифікації у вашому браузері. Якщо ви введете домен третьої сторони, вам буде запропоновано ввести пароль IMAP (якщо підтримується). Це все дуже нормально для поштового клієнта.
Однак після того, як ви пройшли автентифікацію, вам буде запропоновано нешкідливе вікно, яке інформуватиме вас про те, що використовувати у новій версії Outlook Microsoft потрібно буде синхронізувати ваші електронні листи, події та контакти з Microsoft Хмара. Доступна опція скасування, але немає можливості відмовитися та продовжити використання клієнта. А посилання підтримки надається додаткова інформація, яка пояснює, що доступ дозволяє такі функції, як пошта пошук, сфокусована папка "Вхідні" або повторювані зустрічі, але не робить чіткої заяви про обмеження цих даних колекція.
Джерело: Microsoft
Виходячи з цього попередження, користувач може розумно припустити, що клієнт електронної пошти, у який він входить, так і буде продовжувати діяти як клієнт електронної пошти та що клієнт може надіслати деякі обмежені дані для обробки в хмара. Однак це не так. Замість автентифікації клієнта електронної пошти ваші облікові дані передаються в хмару Microsoft, яка виконує автентифікацію від вашого імені. З цього моменту вся обробка (включаючи отримання ваших електронних листів) здійснюється в хмарі. Нам не вдалося спостерігати трафік, що йде безпосередньо від клієнта до нашого постачальника електронної пошти.
Це стосується як робочих процесів OAuth, так і IMAP, але найбільш помітно під час автентифікації за допомогою стороннього сервера IMAP. У цьому випадку клієнт Outlook отримує облікові дані IMAP, надані вашим провайдером електронної пошти, для доступу до програми та передає їх безпосередньо в хмару Microsoft через TLS. Ми могли б відтворити це, налаштувавши прозорий проксі-сервер між Інтернетом і клієнтом Outlook для перехоплення зашифрованого трафіку. На знімку екрана нижче наш пароль програми, згенерований стороннім постачальником електронної пошти, надається та зберігається безпосередньо на серверах Microsoft. Відповіддю на цей запит є маркер доступу та оновлення, який використовується для підтримки постійного автентифікованого сеансу з серверами Microsoft.
Це поштовий клієнт чи ні?
Outlook (новий) робить менше локально, ніж ви думаєте
Провайдер електронної пошти, який ми використовуємо для цього прикладу, записує IP-адресу та час доступу для кожного нового входу. Якщо клієнт Outlook спілкувався безпосередньо з нашим поштовим сервером (тобто діяв так, як повинен клієнт), тоді IP-адреса, яку записує постачальник електронної пошти, має збігатися з адресою комп’ютера, на якому запущено Outlook на. У кожному випадку, коли ми спробували це, жодне з’єднання не було записано з нашої домашньої IP-адреси. Натомість початкові з’єднання IMAP/SMTP надходили з IP-адреси 52.x.x.x. Швидкий пошук WHOIS показує, що ця IP-адреса зареєстрована в Microsoft. Це продемонструвало б, що «клієнт» Outlook — це нічого подібного, він діє як обгортка навколо хмарних служб Microsoft і що наш локальний клієнт взагалі ніколи не входив у систему.
«Клієнт» Outlook — це нічого подібного, він діє як обгортка навколо хмарних служб Microsoft.
Тут є явна проблема для користувача. Просто ввійшовши в новий клієнт Outlook, користувач фактично надає Microsoft Cloud загальний і необмежений доступ до всього свого облікового запису електронної пошти. Єдина згадка Microsoft про конфіденційність на пов’язаній сторінці підтримки – це набір посилань на її заяву про конфіденційність і угоди про надання послуг, обидві з яких надають загальний доступ до ваших даних для вдосконалення продуктів Microsoft і послуги. Принаймні під час автентифікації за допомогою OAuth2 більшість постачальників послуг електронної пошти пропонують певний підсумок конфіденційності (подібно до прикладу від Google нижче). Під час автентифікації за допомогою IMAP користувач зазвичай отримує ще менше попереджень, оскільки більшість постачальників послуг електронної пошти припускають, що «клієнти» електронної пошти принаймні діють як клієнти, а не як шлюзи до хмари. Важливо також зазначити, що немає очевидного способу відмовитися від цієї хмарної інтеграції під час входу в будь-який обліковий запис електронної пошти або використання клієнта в режимі з вимкненими деякими функціями ШІ.
Перенесення функціональних можливостей клієнта електронної пошти в хмару також позбавляє інженерів безпеки або дослідників можливості легко перевіряти, що робить клієнт. Можна відстежувати запити, зроблені до ваших даних від Microsoft (хоча і складно, оскільки користувачу потрібно буде запустити власну електронну пошту сервер з доступом до його журналів), але це не дає жодної інформації про те, скільки додаткової обробки, якщо така є, займає місце. Також важливо пам’ятати, що цей доступ є постійним. Більше неможливо припинити доступ Microsoft до ваших електронних листів, просто закривши Outlook. Користувачі можуть увійти в Outlook на робочому столі, щоб перевірити його, вирішити, що він їм не подобається, і просто припинити використовувати його, не виходячи з системи. Поки користувач не вийде (або не скасує сеанс в іншому місці), Microsoft збереже постійний доступ до його даних.
Небезпечні прецеденти для даних
Збір даних для локальних клієнтів може бути занадто далеко
Збір даних — це, зрештою, те, до чого ми всі звикли, подобається нам це чи ні. Однак відсутність прозорого розкриття інформації з боку Microsoft і використання настільних програм для передачі даних користувачів у хмару викликають занепокоєння. Ліцензійні угоди, прийняті корпорацією Майкрософт, дозволяють майже необмежений збір даних для удосконалення або створення нових інструментів Microsoft, зокрема використання даних вашої електронної пошти для навчання генеративного штучного інтелекту або інші інструменти.
Жодного разу не пояснюється, що настільна програма Outlook діятиме виключно як обгортка хмарних служб або які обмеження та обставини, за яких Microsoft матиме доступ до ваших даних у хмара. Враховуючи масштаби поштовху Microsoft до нових хмарних інтеграцій штучного інтелекту та відсутність впевненості в іншому випадку розумно припустити, що корпорація Майкрософт може використовувати такі дані для навчання чи тестування цілей.
Відсутність прозорого розкриття інформації з боку Microsoft і використання комп’ютерних програм для передачі даних користувачів у хмару викликає занепокоєння.
Це також може бути серйозною проблемою для бізнесу. Корпоративний кінцевий користувач може мимоволі надати Майкрософт доступ до великих обсягів ділових або комерційно конфіденційних даних, можливо, порушуючи нормативні вимоги чи вимоги безпеки. Якщо потім ці дані використовувалися для навчання генеративних штучних інтелектів або інших моделей машинного навчання, які оприлюднюються, цілком можливо, що деякі аспекти цих даних можуть стати доступними для будь-кого. Це екстремальний сценарій, але зрозуміло, що може викликати занепокоєння.
Незалежно від того, чи є ви досвідченим користувачем у бізнесі, системним адміністратором, який контролює мережу, чи кінцевим користувачем шукаючи новий клієнт електронної пошти, важливо знати про наслідки для конфіденційності входу за допомогою Outlook. Microsoft, пропонуючи розкриття інформації про те, що вона буде синхронізувати дані з хмарою, вимагає набагато більше свободи, ніж користувач міг би розумно очікувати, враховуючи ступінь свого доступу та роль клієнта все.