Outlook trasferisce password e email a Microsoft senza avvisare l'utente

Con il lancio di Windows 11 23H2, Microsoft ha portato al debutto il nuovo Outlook. Precedentemente conosciuto con il nome di One Outlook, il nuovo client racchiude sotto un unico ombrello la gestione delle email, dei calendari, dei contatti. Con il nuovo Outlook, il concetto è quello di consegnare agli utenti un’esperienza rinnovata e unificata, indipendentemente dalla piattaforma in uso.

Outlook consente ovviamente di configurare e utilizzare più account email, accessibili via OAuth oppure utilizzando i tradizionali protocolli IMAP e SMTP. L’applicazione dà quindi modo di utilizzare sia account Microsoft che indirizzi email di altri fornitori, compresi quelli dei provider italiani, via OAuth o tramite IMAP/SMTP.

Provando l’Outlook di nuova generazione, tuttavia, ci si rende conto di un problema tutt’altro che di poco conto. Una sorpresa che in pochi probabilmente si aspettavano di trovare.

Outlook, portato al debutto con Windows 11 23H2, sottrae password e dati personali salvandoli sui server Microsoft

Quando si utilizza un client di posta elettronica ovviamente si ingenera uno scambio di dati, su base periodica, tra il dispositivo in uso e i server di posta remoti. Alcuni client email possono integrare funzionalità per la verifica e l’installazione degli aggiornamenti.

Se in Outlook si imposta l’uso di un account Microsoft, è ovvio che l’applicazione trasferisca dati da e verso i server dell’azienda di Redmond. Ma perché dovrebbe esserci un flusso di informazioni tra il sistema locale e i server Microsoft, attraverso l’app Outlook, se si configurano solamente account email di terze parti?

Ebbene, come ha accertato Heise c’t, se nel nuovo Outlook si impostano account accessibili via IMAP e SMTP, i dati degli stessi – comprese password di accesso e contenuti dei messaggi – sono automaticamente sincronizzati sui server Microsoft.

Avete capito bene: email, calendari e contatti (insieme con le password di accesso) provenienti da provider “non-Microsoft” sono automaticamente caricati sui server della società di Redmond.

Sebbene protetti con il protocollo TLS, i dati sono inviati sotto forma di testo normale sul tunnel cifrato stabilito tra client e server Microsoft. Senza informare l’utente né chiedere alcuna conferma, di fatto Microsoft si concede l’accesso completo ai dati degli account IMAP/SMTP degli utenti.

I token di accesso OAuth sono comunque memorizzati lato server Microsoft, ad esempio anche quelli che consentono l’accesso agli account Google. In questo caso, l’utente ha almeno la possibilità di annullarli e disporne quindi il ritiro.

A questo punto, è opportuno tenere presente il comportamento anomalo del nuovo Outlook e attendere le risposte di Microsoft. L’anomalia, tra l’altro, si presenta allo stesso modo su Windows, macOS, Android e iOS.