14/11/23
Новый бесплатный Outlook, призванный заменить встроенное приложение Почта в Windows, а вскоре и классический Outlook, вызывает беспокойство у специалистов безопасности и простых пользователей из-за передачи конфиденциальных данных на серверы Microsoft, пишет Securitylab.
Новое приложение Outlook, которое теперь не является частью Microsoft Office и распространяется бесплатно, как оказалось, пересылает учётные данные IMAP и SMTP электронной почты, а также все письма на серверы Microsoft. Несмотря на возможность возврата к предыдущим приложениям, данные уже остаются у компании, что фактически позволяет ей читать электронные письма своих пользователей.
После установки обновления Windows 11 23H2, новый Outlook отображается как рекомендуемое приложение в меню «Пуск». Предполагается, что он заменит встроенные в Windows программы почты и календаря в 2024 году и, в конечном итоге, заменит классический Outlook.
При добавлении почтового аккаунта, не принадлежащего Microsoft, программа предупреждает о синхронизации данных с облачным хранилищем Microsoft, что даёт компании полный доступ ко всем письмам. Эта функция также доступна в версиях Outlook для Android, iOS и macOS.
Во время тестирования безопасности экспертами было обнаружено, что новый Outlook передаёт на серверы Microsoft данные сервера, имя пользователя и пароль при создании учётной записи IMAP. Причём передаются эти данные в открытом виде, хотя и не без помощи TLS.
Переключение со старого на новый Outlook не влечёт автоматической передачи настроенных IMAP-аккаунтов, однако учётные записи, хранящиеся в Windows, передаются. При тестировании с учётными записями Google использовалась аутентификация OAuth2, при которой Microsoft получает только токен доступа.
Комментарий от Microsoft по этому вопросу пока не поступил, но уже сейчас необходимо предостеречь пользователей от необдуманного перехода на новый Outlook.
Федеральный уполномоченный Германии по защите данных и свободе информации, профессор Ульрих Кельбер, выразил беспокойство по поводу перенаправления данных в новом Outlook и планирует запросить отчёта у Ирландского комиссара по защите данных на следующей неделе во время встречи европейских надзорных органов по защите данных.
