| 27 ноя 2025 — 12:00 PT
Если у вас случайно открывалось приложение Apple Podcasts с шоу, на которое вы не подписаны, вы не одиноки. Вот что происходит.
Непосредственной опасности нет, но это все же стоит обсудить
Новый отчет от 404 Media описывает странную ситуацию, когда приложение Apple Podcasts открывается без запроса, обычно на подкаст из категории «религия, духовность и образование».
Что еще более странно, по крайней мере один подкаст содержал потенциально вредоносную ссылку, которая могла бы позволить использовать старый метод атаки, известный как межсайтовый скриптинг, или XSS.
404 Media отмечает, что, хотя проблема и вызывает раздражение, она не представляет непосредственного риска для пользователей. Однако она оставляет дверь открытой для потенциально более серьезной проблемы, если кто-то обнаружит уязвимость в приложении, которую можно было бы использовать в сочетании с этим поведением.
Из отчета:
«Тем не менее, кто-то пытался доставить что-то более злонамеренное через приложение Podcasts. Это первый подкаст, который я упомянул, с названием «5../XEWE2′»»"″onclic…». Возможно, некоторые читатели это уже заметили, но подкаст пытается направить слушателей на сайт, который пытается выполнить атаку межсайтового скриптинга, или XSS. XSS — это, по сути, когда хакер внедряет свой вредоносный код на веб-сайт, который выглядит как обычный. Это определенно атака из серии «низко висящих фруктов», по крайней мере, сегодня. Я помню, что 10 лет назад это было гораздо, гораздо более распространенным, и в конечном итоге это привело к печально известному червю MySpace».
404 Media также отмечает, что некоторые шоу, которые автоматически открываются в Apple Podcasts, датируются как минимум 2019 годом, с редкими эпизодами, которые либо полностью тихие, либо на языках, отличных от английского.
Как, вероятно, помнят читатели 9to5Mac, это не первый раз, когда сервис или платформа Apple сталкивается с подобными проблемами. Всего несколько месяцев назад было возрождение крипто-спама в Apple Calendar, а iMessage также сталкивался с проблемами спама в прошлом.
На протяжении многих лет Apple внедряла многочисленные пользовательские настройки и системные фильтры для борьбы с подобным спамом, но злоумышленники, похоже, становятся все более изобретательными в поиске способов обойти защиту Apple.
В случае с Apple Podcasts проблема, по-видимому, связана с возможностью автоматического запуска приложения по ссылке, без необходимости для пользователя на что-либо нажимать.
Из отчета:
««Наиболее тревожным поведением является то, что приложение может быть запущено автоматически с подкастом по выбору злоумышленника», — сказал Патрик Уордл, эксперт по безопасности macOS и создатель кибербезопасной организации Objective-See, ориентированной на Mac. «Мне удалось воспроизвести подобное поведение, хотя и через веб-сайт: просто посещение веб-сайта достаточно, чтобы вызвать открытие Podcasts (и загрузку подкаста по выбору злоумышленника), и, в отличие от других внешних запусков приложений на macOS (например, Zoom), никаких запросов или одобрения пользователя не требуется»».
404 Media несколько раз пытался связаться с Apple по поводу этой проблемы, но сообщает, что компания не ответила.
Случалось ли это с вами? Дайте нам знать в комментариях.
Скидки на аксессуары на Amazon