Uwaga na mobilnego Outlooka: dane kont trafiają na serwery w USA

Aplikacja zaprezentowana przez Microsoft tak naprawdę nie jest czymś zupełnie nowym, bo korporacja po prostu dopasowała do swoich potrzeb i nieco przerobiła program Acompli, którego stała się właścicielem w ubiegłym roku. Tamten klient pocztowy był wielu użytkownikom dobrze znany, również oferował wsparcie dla różnego rodzaju kont i skrzynek pocztowych, synchronizację kalendarzy czy kontaktów. Chcąc udostępnić nowoczesny program będący swoistym asystentem, a nie tylko klientem poczty, Microsoft przejął wszystkie rozwiązania tej firmy. Ich realizacja nie każdemu jednak przypadnie do gustu – taka jest natomiast cena za np. używanie natychmiastowych powiadomień w trybie push.

Rzecz w tym, że nie wszystkie skrzynki oferują tego typu opcje, a jednak aplikacja je zapewnia. Jak to możliwe? Jeżeli zajrzymy do polityki prywatności usługi to dowiemy się, że dane użytkowników trafiają na pośredniczące serwery w USA, a dopiero z nich wysyłane są powiadomienia do aplikacji mobilnej zainstalowanej na naszym smartfonie lub tablecie. Co prawda tylko tymczasowo, ale na serwerach zapisywane są nasze wiadomości, a w sposób trwały także dane logowania do skonfigurowanych przez nas usług, zarówno pocztowych jak i chmur internetowych - wyjątkiem są jedynie te, które dają dostęp do konta za pośrednictwem np. OAuth jak choćby konta Google. W przypadku usług korzystających z weryfikacji dwuetapowej, serwery przechowują wygenerowane przez użytkownika hasło dla aplikacji.

Oczywiście producent zastrzega, że w największym stopniu dba o bezpieczeństwo danych użytkowników, ale marne to pocieszenie - nie ma zabezpieczeń doskonałych, a takie serwer stanowią łakomy kąsek dla atakujących. Muszą one bowiem przechowywać nasze dane logowania w postaci jawnej (lub możliwej do zamiany na jawną) w celu zalogowania się do skonfigurowanych kont, pobrania wiadomości i poinformowania nas o ich istnieniu. Taka usługa jest co prawda wygodna i może być rozszerzona o bardzo ciekawe możliwości, ale wprowadza do komunikacji pośrednika, kolejny czynnik możliwy do zaatakowania i przechwycenia danych.

Jak na razie Microsoft w żaden sposób nie ustosunkował się do polityki prywatności aplikacji Outlook. Nie wiadomo, czy w przyszłości zostanie ona zmieniona (a co za tym idzie, zmieni się cały mechanizm działania programu), ale pewnym jest, że w obecnej postaci jest zupełnie nie do przyjęcia dla wielu użytkowników. Ze swojej strony możemy w chwili obecnej jedynie odradzić używanie testowej wersji mobilnego Outlooka – polityka zastrzega, że w razie potrzeby dane mogą zostać udostępnione np. rządowi USA, a także wykorzystane przez Microsoft w sytuacji, gdyby istniały podejrzenia co do naszych zamiarów względem korporacji lub innych użytkowników.