JAKARTA, TINTAHIJAU.com – Sebuah kerentanan kritis ditemukan pada aplikasi Google Drive Desktop untuk sistem operasi Windows. Celah ini berpotensi mengekspos data sensitif pengguna, terutama pada perangkat yang digunakan bersama di lingkungan kantor, kampus, maupun fasilitas publik.
Peneliti keamanan siber mengungkap bahwa kelemahan yang tercatat dengan kode CVE-2025-5150 muncul akibat cara aplikasi menangani data cache pada sistem file lokal. Google Drive Desktop menyimpan data pengguna dalam folder bernama DriveFS, namun tidak diisolasi secara aman antarprofil pengguna.
Akibatnya, seorang pengguna pada perangkat bersama bisa menyalin folder cache DriveFS milik orang lain dan menempelkannya ke dalam profilnya sendiri. Saat aplikasi dijalankan ulang, sistem langsung mempercayai isi cache tersebut dan memasang (mount) akun Google Drive orang lain tanpa meminta proses autentikasi ulang.
“Celah ini merupakan kegagalan dalam validasi identitas dan sesi. Aplikasi menganggap keberadaan folder cache sudah cukup sebagai bukti akses, padahal prinsip dasar keamanan seperti zero trust dan enkripsi seharusnya tetap berlaku,” jelas tim peneliti.
Uji coba terhadap aplikasi Google Drive Desktop versi 112.0.3.0 menunjukkan kerentanan ini memungkinkan seseorang mengakses, mengubah, bahkan menghapus file pengguna lain tanpa perlu kata sandi. Akses tetap bertahan meski fitur sinkronisasi dihentikan sementara.
Situasi ini menimbulkan risiko serius, khususnya pada perangkat yang digunakan secara bergantian. “Di kantor atau universitas, pengguna lokal bisa memanfaatkan celah ini untuk mencuri atau merusak dokumen milik orang lain,” tambah laporan tersebut.
Langkah Mitigasi
Untuk mengurangi potensi kebocoran data, peneliti menyarankan sejumlah langkah bagi organisasi dan administrator IT, antara lain:
- Menghindari pemasangan Google Drive Desktop pada perangkat bersama atau publik.
- Membatasi penggunaan hanya pada perangkat pribadi dengan profil pengguna terpisah dan izin yang terkelola dengan baik.
- Melakukan pembersihan rutin terhadap data cache, terutama sebelum perangkat dipakai oleh pengguna lain.
- Menggunakan perangkat manajemen endpoint untuk memantau serta mengendalikan pemasangan aplikasi Google Drive.
- Mendorong karyawan atau mahasiswa agar mengakses Google Drive melalui browser saat menggunakan perangkat bersama.
Hingga saat ini, belum ada pernyataan resmi dari pihak Google terkait rencana perbaikan keamanan pada aplikasi desktop mereka. Namun, para pakar mengingatkan bahwa kesadaran dan pengelolaan penggunaan aplikasi tetap menjadi kunci utama untuk mencegah insiden kebocoran data.
