Jan Vajdák Někteří uživatelé hlásí zvláštní chování aplikace Apple Podcasts. Appka se sama od sebe otevře a zobrazí podcast, který vůbec nesledují. Podle nové zprávy webu 404 Media se tento jev týká především pořadů z kategorií náboženství, spirituality a vzdělávání. Nejde o okamžité bezpečnostní riziko, ale problém stojí za pozornost. Kromě samovolného spouštění byl zaznamenán i jeden podcast s podezřelým názvem a odkazem, který se pokoušel spustit techniku cross-site scriptingu (XSS). Ta umožňuje útočníkům vložit do legitimně působící stránky škodlivý kód.
Některé podezřelé epizody navíc sahají až do roku 2019 a často jsou špatně slyšitelné nebo v cizích jazycích. Uživatelé tak mohou mít pocit, že se jim do zařízení dostal spam. A v jistém smyslu je to pravda. Jak upozorňuje bezpečnostní expert Patrick Wardle, klíčovým rizikem je možnost automatického spuštění aplikace Podcasts bez interakce uživatele. Stačí navštívit webovou stránku, která iniciuje otevření aplikace, a to bez jakéhokoli dotazu nebo potvrzení, což je rozdíl oproti většině ostatních aplikací na macOS, které vyžadují souhlas.
Mohlo by vás zajímat
Tento mechanismus mohou útočníci zneužít k nasměrování uživatelů k obsahu, který se prezentuje jako podcast, ale může obsahovat podezřelé odkazy. Nejde o první případ, kdy Apple čelí spamu či zneužívání svých služeb. Letos se například znovu objevily hromadné spam pozvánky v Apple Calendar. Ačkoli Apple zavedl řadu filtrů, tvůrci spamu nacházejí nové způsoby, jak je obcházet. 404 Media opakovaně kontaktovalo Apple s žádostí o komentář, ale společnost zatím nereagovala.
