如果您不小心打開了 Apple 播客並觀看了您未訂閱的節目,那麼您並不孤單。這就是正在發生的事情。
新的 報告來自 404媒體 描述了一種奇怪的情況,蘋果播客應用程序在沒有提示的情況下打開,通常是在宗教、靈性和教育播客上。
更奇怪的是,至少有一個播客提供了一個潛在的惡意鏈接,該鏈接可能會啟用一種稱為跨站點腳本(XSS)的舊攻擊方法。
404媒體 指出雖然這個問題很煩人,但它不會對用戶構成直接威脅。但是,如果有人發現應用程序中存在可與此行為結合利用的漏洞,則可能會出現更嚴重的問題。
從 報告:
“然而,有人試圖通過播客應用程序傳播一些更惡意的內容。這是我提到的第一個名為“5../XEWE2”的播客”“”onclic…”。一些讀者可能已經註意到了這一點,但播客正試圖將聽眾引導至嘗試跨站點腳本或 XSS 攻擊的站點。 XSS 本質上是指黑客將自己的惡意代碼注入到看似合法的網站中。這絕對是一次輕鬆的攻擊,至少在今天是這樣。我記得這種情況在 10 年前更為常見,並最終導致了臭名昭著的 MySpace 蠕蟲病毒。”
404媒體 還注意到 蘋果播客上的一些節目的自動發現功能至少可以追溯到 2019 年,其中個別劇集要么完全無聲,要么使用英語以外的語言。
如何 朝九晚五 讀者可能還記得,這並不是蘋果的服務或平台第一次遇到此類問題。幾個月前,Apple Calendar 出現了加密垃圾郵件的死灰復燃,而 iMessage 過去也曾面臨過垃圾郵件問題。
多年來,蘋果 實施的 許多用戶設置和系統級過濾器有助於遏制此類垃圾郵件,但攻擊者似乎在尋找繞過蘋果保護措施的方法方面變得更有創意。
就 Apple Podcasts 而言,問題似乎與從鏈接自動啟動應用程序而不需要用戶實際單擊任何內容的能力有關。
從 報告:
macOS 安全專家、專注於 Mac 的網絡安全組織 Objective-See 的創建者帕特里克·沃德爾 (Patrick Wardle) 表示:“最令人震驚的行為是,應用程序可以自動啟動並播放攻擊者選擇的播客。” “我重現了類似的行為,儘管是通過網站:只需訪問該網站就足以啟動播客(並下載攻擊者選擇的播客),並且與在 macOS 上啟動其他外部應用程序(如 Zoom)不同,沒有提示或不需要用戶批准。”
404 Media 曾多次嘗試就此事聯繫蘋果公司,但表示該公司尚未做出回應。
你有遇到過這種情況嗎?請在評論中告訴我們。
亞馬遜上的配飾優惠
FTC:我們使用自動會員鏈接來產生收入。 更多的。
