Grave falla su Google Drive Desktop per Windows: accesso completo ai file di altri utenti

Accesso completo ai file di altri utenti: grave falla su Google Drive Desktop per Windows

Una grave vulnerabilità è stata recentemente scoperta nella versione desktop di Google Drive per Windows. Il problema permette agli utenti di un computer condiviso di accedere ai file di Google Drive di altri account, aggirando qualsiasi richiesta di autenticazione. Questa falla, collegata al sistema di cache locale DriveFS, può mettere a rischio dati personali, documenti aziendali riservati e informazioni sensibili, specialmente in ambienti multipli come aziende, scuole o famiglie. Se usi Google Drive Desktop su un pc condiviso, modifica subito le impostazioni di sicurezza, limita l’accesso fisico al dispositivo, e valuta l’uso di autenticazioni più forti e soluzioni alternative. È fondamentale che le aziende adottino politiche di controllo rigorose e informino i propri dipendenti di questa minaccia, in attesa di una patch ufficiale.

Il problema della vulnerabilità su Google Drive Desktop per Windows

La fiducia in Google Drive come strumento sicuro di archiviazione e sincronizzazione dei dati è condivisa da milioni di utenti in tutto il mondo. Tuttavia, una recente scoperta nella versione per Windows del client desktop smentisce questa sicurezza: una falla nella gestione dei file sincronizzati permette a qualsiasi utilizzatore di un computer condiviso di accedere integralmente ai file di altri account Google Drive, senza dover effettuare una nuova autenticazione.

Cosa succede: la cache DriveFS poco protetta

Google Drive Desktop per Windows utilizza una cartella nascosta chiamata DriveFS per conservare una copia locale dei file sincronizzati. Questa cartella si trova all’interno del profilo Windows di ciascun utente e, secondo le regole di sicurezza standard, dovrebbe essere accessibile solo dal proprietario dell’account. Tuttavia, la realtà è diversa: il client Google Drive non implementa misure forti di isolamento dei dati né verifica l’identità dell’utente ogni volta che carica la cache locale.

Se un utente malintenzionato ha accesso amministrativo o privilegi elevati su un computer condiviso, può:

  • Copiare l’intera cartella DriveFS di un altro utente all’interno del proprio profilo,
  • Lanciare Google Drive Desktop dopo aver sostituito la cartella,
  • Accedere a tutti i file sincronizzati dell’altra persona come se fossero i propri, senza che venga mai richiesta una nuova autenticazione.

Questa mancanza di controllo espone il contenuto di Drive a compromissioni silenziose: l’utente legittimo non riceve alcun avviso, nessuna richiesta di autenticazione supplementare viene mostrata e Google Drive Desktop si comporta come se nulla fosse.

Impatti pratici della vulnerabilità

L’impatto di questa vulnerabilità è trasversale e colpisce sia utenti privati sia aziende:

  • Furto di dati sensibili: documenti aziendali, informazioni riservate, fotografie private o dati finanziari possono essere facilmente accessibili e copiati da chiunque abbia accesso al dispositivo.
  • Violazione delle normative: questa falla viola standard di sicurezza internazionali come NIST SP 800-53, ISO 27001 e SOC 2, che prevedono isolamento dei dati, principio del privilegio minimo e cifratura a riposo.
  • Mancata conformità GDPR e altre leggi: aziende ed enti pubblici rischiano di incorrere in sanzioni amministrative gravi per mancata protezione dei dati personali.
  • Facilità di attacco da parte di insider: il rischio non arriva solo da hacker esterni ma da tutti coloro che possono usare un pc condiviso (colleghi, studenti, membri della famiglia).

Dinamica tecnica del problema

Il cuore della vulnerabilità risiede nell’architettura del client Google Drive Desktop. Non viene eseguita alcuna riconvalida dell’identità dell’utente quando si avvia l’applicazione e si accede alla cache locale. A differenza di molte altre applicazioni di cloud storage, Google Drive Desktop non cifra i contenuti della cartella DriveFS a riposo, né la associa rigidamente all’utente Windows autenticato.

In pratica:

  • L’attaccante si autentica sul computer con un proprio profilo.
  • Chiude Google Drive Desktop.
  • Copia la cartella DriveFS del profilo della vittima sul proprio profilo Windows.
  • All’avvio successivo di Drive, i file della vittima risultano pienamente accessibili.

Questa tecnica non richiede exploit avanzati, malware o sofisticate tecniche di hacking: si tratta di una semplice copia di cartelle, praticabile da qualsiasi utente con accesso privilegiato.

Adesione (mancata) agli standard di sicurezza

La vulnerabilità di Google Drive Desktop è particolarmente grave perché viene meno ai fondamenti di sicurezza attesi da una piattaforma internazionale. Non applicando principi come zero-trust, isolation dei dati e autenticazione continua, il client tradisce quella fiducia che milioni di utenti e aziende ripongono sul servizio.

Gli standard citati (es. NIST, ISO 27001, SOC 2, GDPR, HIPAA, PCI DSS) richiedono:

  • Isolamento netto dei profili utente e dei dati archiviati.
  • Cifratura dei dati sensibili.
  • Gestione sicura delle sessioni e richiesta di autenticazione al variare del contesto di accesso.

Google Drive Desktop per Windows, nella versione attuale, non soddisfa queste condizioni basilari.

Altre vulnerabilità rilevate e gestione da parte di Google

Non è l’unica vulnerabilità individuata di recente. Ricercatori di sicurezza hanno segnalato anche altri problemi legati al mancato utilizzo di meccanismi come “Mark-of-the-Web”, che limita l’esecuzione di file potenzialmente pericolosi scaricati dal cloud. In alcuni casi, Google ha risposto minimizzando la portata o ritardando l’uscita di patch, alimentando l’insoddisfazione della comunità di ricercatori e aziende che pretendono maggiore trasparenza e reattività.

Cosa fare ora: consigli pratici e azioni immediate

In attesa di una soluzione ufficiale da parte di Google, utenti e amministratori IT possono ridurre i rischi tramite alcune strategie:

Per tutti gli utenti:

  • Evita l’uso di Google Drive Desktop su computer condivisi o pubblici.
  • Disconnetti il tuo account e cancella la cache locale DriveFS se sospetti accessi non autorizzati.
  • Abilita l’autenticazione a due fattori sull’account Google e utilizza password robuste.

Per aziende, scuole e amministratori IT:

  • Implementa criteri di accesso restrittivi sui pc condivisi, limitando la possibilità di leggere/copiare cartelle utente di altri profili.
  • Prediligi soluzioni di archiviazione cloud che garantiscono cifratura e isolamento logico tra utenti.
  • Forma periodicamente il personale sulle best practice di sicurezza e i rischi delle condivisioni di dispositivi.
  • Monitora attivamente accessi e operazioni sospette tramite strumenti SIEM e log di sistema.
  • Richiedi a Google chiarimenti e pressione pubblica per un rilascio più rapido di un fix.

Considerazioni sulla gestione dei rischi e sulle alternative

Questa vulnerabilità sottolinea l’importanza della valutazione continua dei rischi anche su piattaforme apparentemente consolidate e affidabili. Per molte realtà può essere necessario rivalutare l’impiego di Google Drive Desktop, preferendo soluzioni alternative che implementano presidi di sicurezza più rigorosi, soprattutto in ambienti multiutente.

Le aziende dovrebbero includere policy di security-by-design e zero-trust nell’onboarding degli strumenti digitali. Occorre inoltre predisporre strategie di disaster recovery e business continuity, nel caso perdite o furti di dati dovessero compromettere operatività e reputazione.

Azioni e consigli tecnologici approfonditi:

  • Disabilita le cache locali criptando i profili Windows o utilizzando software di encryption di terze parti per DriveFS.
  • Adotta strumenti centralizzati di gestione delle credenziali e monitoraggio degli endpoint.
  • Assicurati che solo personale autorizzato possa accedere fisicamente ai dispositivi con client Drive installati.
  • Monitora costantemente le vulnerabilità note tramite mailing list di sicurezza, bug bounty e avvisi dei vendor.
  • Includi il rischio di esposizione DriveFS nei processi di audit e revisione della compliance interna.

Fino al rilascio di aggiornamenti strutturali da parte di Google, la responsabilità della protezione dei dati rimane, di fatto, principalmente nelle mani degli utenti e delle organizzazioni che usano Google Drive Desktop per Windows.

Fonte: https://gbhackers.com/google-drive-desktop-for-windows-flaw

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto