Если вы заметили, что приложение «Подкасты» на вашем устройстве внезапно открывается само по себе и начинает воспроизводить шоу, на которое вы никогда не подписывались, — вы не одиноки. В новом расследовании издания 404 Media подробно описывается эта странная аномалия: чаще всего сервис без спроса перенаправляет пользователей на шоу в категориях «религия, духовность и образование».
Ситуация выглядит ещё более тревожной при детальном изучении контента. Как минимум один из таких «призрачных» подкастов содержал потенциально вредоносную ссылку, нацеленную на реализацию старого метода кибератаки — межсайтового скриптинга (XSS).
Хотя журналисты отмечают, что прямо сейчас этот сбой доставляет лишь неудобства и не несёт немедленной угрозы данным пользователей, он создаёт опасный прецедент. Если злоумышленники обнаружат уязвимость внутри самого приложения, нынешняя «особенность» поведения может стать открытой дверью для серьёзных атак.
Привет из эпохи MySpace
В отчёте приводится конкретный пример вредоносной активности. Один из подкастов имел заголовок, начинающийся с кода: «5../XEWE2′””"″onclic…». Это не случайный набор символов, а попытка направить слушателей на сайт, выполняющий XSS-атаку.
«Межсайтовый скриптинг — это, по сути, внедрение хакером своего вредоносного кода на сайт, который в остальном выглядит легитимным, — говорится в материале. — На сегодняшний день это атака уровня "для начинающих". Я помню, что это было гораздо более распространено 10 лет назад, и именно такая уязвимость в конечном итоге привела к появлению печально известного червя на MySpace».
Любопытно, что некоторые шоу, которые автоматически открываются в приложении, датируются ещё 2019 годом. Их контент зачастую бессмыслен: эпизоды могут состоять из полной тишины или быть записаны на иностранных языках без перевода.
Повторение истории
Читатели профильных ресурсов наверняка помнят, что это не первый случай, когда сервисы Apple сталкиваются с подобными проблемами. Экосистема компании на протяжении многих лет ведёт борьбу со спамом: всего несколько месяцев назад наблюдался всплеск «криптоспама» в календарях iCloud, а до этого пользователи массово жаловались на нежелательные рассылки в iMessage.
Несмотря на то что Apple внедрила множество системных фильтров и пользовательских настроек для борьбы с этим явлением, злоумышленники продолжают находить творческие способы обхода защиты.
Мнение эксперта: почему это происходит?
В случае с «Подкастами» корень проблемы кроется в механизме, позволяющем запускать приложение по ссылке без какого-либо подтверждения со стороны владельца устройства.
Патрик Уордл, эксперт по безопасности macOS и создатель организации Objective-See, прокомментировал ситуацию:
«Самое тревожное поведение заключается в том, что приложение может быть запущено автоматически с подкастом, выбранным атакующим. Я воспроизвёл похожее поведение через веб-сайт: простого посещения страницы достаточно, чтобы триггер сработал и открыл "Подкасты" (загрузив шоу по выбору злоумышленника). В отличие от других внешних запусков приложений в macOS (например, Zoom), здесь не требуется никаких подсказок или одобрения со стороны пользователя».
Журналисты неоднократно пытались связаться с Apple для получения комментариев по поводу этой уязвимости, однако на момент публикации компания не предоставила официального ответа.
Ещё по теме: