Bezpečnostní výzkumníci identifikovali podezřelé chování v aplikaci Apple Podcasty, které by mohlo být zneužito k doručení škodlivého obsahu uživatelům, informuje Joseph Cox pro 404Media.
Cox popisuje, že aplikace Apple Podcasty na iOS i macOS se automaticky spouští a přehrává podivné podcasty, aniž by uživatel s tím měl cokoli společného. Podcasty často patří do kategorií náboženství, spirituality a vzdělávání. Některé z nich obsahují podivné názvy s kódy a URL adresami. V některých případech se aplikace spouštěla ihned po odemknutí zařízení. Patrick Wardle z Objective-See dokázal podobné chování replikovat přes webovou stránku. „Stačí navštívit webovou stránku a Podcasty se otevřou a načtou podcast podle přání útočníka. Na rozdíl od jiných externích spouštění aplikací na macOS není vyžadováno žádné potvrzení či souhlas uživatele,“ řekl Wardle. Jeden z podcastů dokonce obsahuje odkaz, který přesměrovává na stránku se XSS útokem, kde se objeví pop-up potvrzující vložení škodlivého kódu.
Je to nebezpečné?
Wardle upozorňuje, že samo o sobě chování není přímo nebezpečné, ale představuje efektivní mechanismus pro doručení škodlivého kódu, pokud by v aplikaci existovaly zranitelnosti:
- Útočníci tak mohou testovat aplikaci a hledat slabá místa.
- Podobné chování bylo dříve hlášeno například u aplikace Google Kalendář, kdy se uživatelům automaticky přidávaly nežádoucí události s odkazy.
Reakce Applu
Apple na opakované žádosti o komentář nereagoval, takže není jasné, zda a kdy plánuje problém řešit.
