В десктопном приложении Google Drive для Windows обнаружена критическая уязвимость:
На одном компьютере любой пользователь может получить доступ к чужому аккаунту, даже не зная его логина и пароля.
Проблема связана с кэшем DriveFS, где хранятся локальные копии файлов, — он не защищён механизмами повторной аутентификации.
Исследователи показали, что достаточно скопировать папку DriveFS из профиля жертвы в свой собственный каталог. После перезапуска клиент загружает чужие данные и открывает полный доступ к «Моему диску» и общим папкам. Никаких запросов пароля или предупреждений при этом не появляется. В итоге под угрозой оказываются конфиденциальные документы, исходный код, финансовые отчёты и личные фотографии.
Эксперты отмечают, что ошибка нарушает базовые принципы безопасности: в кэше отсутствует шифрование, а проверка личности фактически игнорируется. Такой подход противоречит требованиям NIST, ISO 27001 и GDPR. На практике это означает, что корпоративные пользователи рискуют не только потерять данные, но и столкнуться с претензиями регуляторов.
До выхода официального исправления специалисты советуют не использовать Google Drive Desktop на общих компьютерах, ограничить доступ к папке DriveFS и очищать её при смене пользователя. Также рекомендуется применять жёсткие политики доступа и ограничить установку клиента только доверенными устройствами.
Пока Google не внедрит обязательную повторную авторизацию и шифрование кэша, риск утечки остаётся крайне высоким.
На одном компьютере любой пользователь может получить доступ к чужому аккаунту, даже не зная его логина и пароля.
Проблема связана с кэшем DriveFS, где хранятся локальные копии файлов, — он не защищён механизмами повторной аутентификации.
Исследователи показали, что достаточно скопировать папку DriveFS из профиля жертвы в свой собственный каталог. После перезапуска клиент загружает чужие данные и открывает полный доступ к «Моему диску» и общим папкам. Никаких запросов пароля или предупреждений при этом не появляется. В итоге под угрозой оказываются конфиденциальные документы, исходный код, финансовые отчёты и личные фотографии.
Эксперты отмечают, что ошибка нарушает базовые принципы безопасности: в кэше отсутствует шифрование, а проверка личности фактически игнорируется. Такой подход противоречит требованиям NIST, ISO 27001 и GDPR. На практике это означает, что корпоративные пользователи рискуют не только потерять данные, но и столкнуться с претензиями регуляторов.
До выхода официального исправления специалисты советуют не использовать Google Drive Desktop на общих компьютерах, ограничить доступ к папке DriveFS и очищать её при смене пользователя. Также рекомендуется применять жёсткие политики доступа и ограничить установку клиента только доверенными устройствами.
Пока Google не внедрит обязательную повторную авторизацию и шифрование кэша, риск утечки остаётся крайне высоким.
