In queste settimane diversi utenti hanno segnalato un fenomeno piuttosto bizzarro: Apple Podcast si apre completamente da solo, mostrando episodi di programmi mai seguiti, spesso appartenenti alle categorie religione, spiritualità o educazione. A quanto pare non è un caso isolato, perché 404 Media ha documentato il comportamento e ha identificato alcune anomalie che rendono la situazione più complessa di quanto sembri.
A colpire è soprattutto il fatto che l’app possa avviarsi senza alcuna interazione dell’utente. Si tratta di un comportamento che già di per sé risulta fastidioso, ma che in teoria potrebbe creare margini per problemi di sicurezza ben più interessanti per chi tenta di sfruttare vulnerabilità.
Stando a quanto riportato, almeno un podcast avrebbe cercato di reindirizzare gli ascoltatori a un link potenzialmente dannoso. Quel link avrebbe tentato un attacco XSS, cioè una tecnica in cui un sito apparentemente innocuo contiene codice manipolato da un attaccante. Chi segue la scena da più tempo ricorderà come attacchi di questo tipo fossero frequenti anni fa, al punto da generare episodi celebri come il worm di MySpace.
Nel caso specifico, non parliamo di un rischio immediato. Secondo 404 Media, l’attacco non sembra funzionare e non c’è esposizione sensibile. Ma il fatto che un podcast possa contenere un link del genere fa pensare che se qualcuno dovesse individuare una debolezza reale all’interno dell’app Podcast, questa anomalia di avvio automatico potrebbe trasformarsi in un canale d’ingresso inatteso.
Alcuni dei programmi che si aprono automaticamente risultano addirittura pubblicati diversi anni fa, con episodi silenziosi o prodotti in lingue casuali. Questo suggerisce che i creatori di questi contenuti sfruttino semplicemente meccanismi automatizzati per ottenere visibilità o traffico, trovando un modo per attivare Apple Podcast senza interazione da parte dell’utente. È un comportamento che richiama da vicino altri episodi recenti, come il ritorno dello spam crypto su Apple Calendar o le ondate di messaggi indesiderati su iMessage.
Apple negli anni ha introdotto filtri, controlli e impostazioni per evitare abusi di questo tipo, ma è evidente che nuove forme di spam stiano aggirando questi sistemi.
Il comportamento più preoccupante è la capacità di aprire automaticamente Apple Podcast semplicemente visitando un sito web. Patrick Wardle, esperto di sicurezza macOS, ha replicato la situazione dimostrando che basta caricare una pagina per far avviare l’app e aprire un podcast deciso dall’attaccante, senza richieste di conferma. Altre app esterne, come Zoom, richiedono esplicitamente un prompt di autorizzazione, mentre Podcast no.
Questa mancanza di protezione può apparire come un dettaglio minore, ma rappresenta un punto debole significativo, poiché se un’app può aprirsi autonomamente, può anche essere indotta a caricare contenuti indesiderati o a rivelare funzionalità che in altre circostanze sarebbero protette.
404 Media riferisce di aver contattato Apple più volte, senza ricevere risposta. Non sappiamo quindi se l’azienda stia indagando attivamente sul problema o se la situazione verrà affrontata con un aggiornamento futuro.
- Filtra:
- Tutte
- Apple
- Minimo Storico
- Accessori e parti di ricambio
- Accessori per telefoni e telecomunicazioni
- Alimentari e cura della casa
- Attrezzature e forniture per servizi di ristorazione
- Auto e moto
- Bellezza
- Cancelleria e prodotti per ufficio
- Casa e cucina
- Commercio
- Decorazioni per il giardino
- Dispositivi amazon
- Elettronica
- Fai da te
- Giardino e giardinaggio
- Giochi e giocattoli
- Grandi elettrodomestici
- Igiene dentale
- Illuminazione
- Informatica
- Kindle store
- Libri
- Moda
- Prima infanzia
- Prodotti per animali domestici
- Prodotti per la costruzione
- Pulizia e cura della casa
- Salute e cura della persona
- Sport e tempo libero
- Strumenti musicali
- Videogiochi
Leggi o Aggiungi Commenti