Исследователи безопасности выявили подозрительную активность в приложении Apple Podcasts, которая может использоваться для доставки вредоносного контента пользователям, согласно отчету Джозефа Кокса из 404Media.

В отчете Кокса описываются некоторые странные случаи использования приложения Podcasts, которые определенно указывают на то, что происходит что-то неладное как в версиях для iOS, так и для macOS. Он отмечает, что за последние несколько месяцев приложение автоматически запускалось и отображало необычные подкасты без его участия. На Mac и iPhone приложение по непонятным причинам открывало подкасты на темы религии, духовности и образования, иногда запускаясь в тот момент, когда Кокс разблокировал свое устройство.

Заинтересовавшие подкасты часто содержат странные названия с фрагментами кода, URL-адресами, а в некоторых случаях – попытками атак типа «межсайтовый скриптинг» (cross-site scripting).

Эксперт по безопасности Objective-See Патрик Уордл сообщил Коксу, что смог воспроизвести подобное поведение, но в его случае через веб-сайт. «Простого посещения веб-сайта достаточно, чтобы запустить приложение Podcasts (и загрузить подкаст по выбору злоумышленника), и, в отличие от других внешних запусков приложений на macOS, никакого запроса или одобрения пользователя не требуется», — заявил Уордл 404 Media.

Один особенно тревожный подкаст, по-видимому, включает ссылку, которая перенаправляет на сайт, пытающийся провести XSS-атаку – метод, при котором злоумышленники внедряют вредоносный код в веб-сайты, выглядящие иначе как законные. При посещении сайт отображает всплывающее окно, подтверждающее попытку XSS.

Уордл отмечает, что, хотя такое поведение само по себе не представляет непосредственной опасности, оно создает эффективный механизм доставки, если в приложении Podcasts существуют уязвимости. «Масштаб тестирования показывает, что противники активно оценивают приложение Podcasts как потенциальную мишень», — сказал он.

Ситуация имеет сходство с сообщениями о спаме в Google Календаре несколькихлетней давности, когда злоумышленники добавляли нежелательные события со ссылками или рекламным контентом в календари пользователей.

Apple не ответила на многочисленные запросы Кокса о комментарии по этому вопросу. Сталкивались ли вы с подобным необычным поведением приложения Podcasts? Сообщите нам в комментариях.