Podcast που αυτοπροσκαλούνται χωρίς άδεια

Εδώ και αρκετούς μήνες, η εφαρμογή ξεκινάει απροσδόκητα για ορισμένους χρήστες, μερικές φορές μόλις ξεκλειδώσουν τη συσκευή τους, προσφέροντας podcast που κατηγοριοποιούνται ως θρησκεία, πνευματικότητα ή εκπαίδευση. Πιο ανησυχητική από το θέμα είναι η φύση αυτών των προγραμμάτων: οι τίτλοι τους συχνά περιέχουν αποσπάσματα κώδικα, ασυνήθιστες διευθύνσεις URL, ακόμη και επιθέσεις cross-site scripting (XSS).

Ο Patrick Wardle, ειδικός ασφαλείας στην Objective-See, αναπαρήγαγε με επιτυχία αυτή τη συμπεριφορά χρησιμοποιώντας έναν απλό ιστότοπο. Επισημαίνει ένα κρίσιμο ελάττωμα χρηστικότητας: «Η απλή επίσκεψη σε έναν ιστότοπο αρκεί για να ενεργοποιηθεί το άνοιγμα των Podcast (και να φορτωθεί ένα podcast που έχει επιλέξει ο εισβολέας) και, σε αντίθεση με άλλες εξωτερικές εφαρμογές που εκκινούνται σε macOS, δεν απαιτείται προτροπή ή έγκριση χρήστη».

Ένας πιθανός φορέας επίθεσης

Ένα από τα εντοπισμένα podcast περιέχει έναν σύνδεσμο που ανακατευθύνει σε έναν ιστότοπο που επιχειρεί μια επίθεση XSS. Ενώ ο ιστότοπος προς το παρόν εμφανίζει μόνο ένα αναδυόμενο παράθυρο που επιβεβαιώνει την προσπάθεια, ο κίνδυνος είναι πραγματικός. Όπως εξηγεί ο Patrick Wardle, ακόμη και αν αυτή η συμπεριφορά δεν είναι άμεσα καταστροφική από μόνη της, αντιπροσωπεύει έναν τρομερό μηχανισμό εάν υπάρχουν πιο σημαντικά τρωτά σημεία εντός της εφαρμογής. «Το επίπεδο εξερεύνησης δείχνει ότι οι αντίπαλοι αξιολογούν ενεργά την εφαρμογή Podcasts ως πιθανό στόχο », προειδοποιεί.

Αυτή η μέθοδος θυμίζει το μαζικό spam που μάστιζε το Ημερολόγιο Google πριν από μερικά χρόνια, όπου ανεπιθύμητες εκδηλώσεις γεμάτες με διαφημιστικούς συνδέσμους κατέκλυζαν τα ημερολόγια των χρηστών. Προς το παρόν, η Apple παραμένει σιωπηλή σε ερωτήσεις σχετικά με αυτό το ζήτημα.