12/09/25
Исследователи выяснили, что программа сохраняет копии синхронизированных данных в скрытой папке DriveFS внутри профиля Windows. Эта директория должна быть доступна только владельцу, однако приложение не проверяет права доступа при подключении к кэшу. Достаточно скопировать содержимое папки DriveFS другого пользователя в собственный профиль, после чего клиент подгрузит чужие данные как свои. При запуске Google Drive Desktop воспринимает перенесённый кэш как легитимный, обходя проверки подлинности и открывая доступ к личным и корпоративным файлам. Об этом передаёт Securitylab.
Проверка на практике показала, что на Windows 10 и 11 с версией клиента 112.0.3.0 процедура элементарна: атакующий заходит в Google Drive под своей учётной записью, закрывает приложение, копирует каталог DriveFS жертвы (C:/Users/[жертва]/AppData/Local/Google/DriveFS/[ID]) в собственную директорию (C:/Users/[атакующий]/AppData/Local/Google/DriveFS/[ID]) и перезапускает программу. В результате он получает полный доступ к основному диску жертвы, а также любым расшаренным ей дискам без пароля и каких-либо уведомлений. В открытом виде оказываются исходные коды, финансовая отчётность, личные фото и любые другие документы.
Такой механизм нарушает базовые принципы Zero Trust, требующие обязательной проверки личности при каждом доступе, а также подрывает защиту, связанную с шифрованием данных. Файлы в кэше сохраняются в незашифрованном виде и могут быть использованы любым, кто имеет доступ к системе. Это противоречит стандартам и регламентам NIST, ISO 27001, GDPR и HIPAA, где предусмотрены строгая изоляция и регулярное подтверждение учётных данных.
До выхода исправления организациям рекомендуют отказаться от использования Google Drive Desktop на компьютерах с несколькими пользователями. Временными мерами могут стать очистка кэша при смене аккаунтов, использование отдельных профилей Windows с жёсткими правами доступа и ограничение запуска клиента только на доверенных устройствах. Чтобы устранить проблему полностью, Google должна внедрить индивидуальное шифрование кэшированных данных, обязательный повторный вход при подключении папки и строгие права на уровне файловой системы.
Учитывая, что значительная доля утечек происходит по вине инсайдеров, доверие к незащищённому кэшу превращается в прямую угрозу. Пока корпорация не закроет этот пробел, пользователи и IT-отделы несут на себе риск несанкционированного доступа к самым критически важным данным.
