Новости
Пользователи Apple Podcasts столкнулись с необычной проблемой: приложение само запускается и открывает подозрительные подкасты религиозной, духовной или образовательной тематики. Об этом сообщает издание 404 Media. Иногда программа запускается сразу после разблокировки устройства, причем работает это как на iOS, так и на Mac. По меньшей мере один из таких подкастов содержит ссылку на потенциально вредоносный сайт.
Среди названий подкастов, которые показывало приложение, — странные наборы символов вроде «5../XEWE2'»»"»onclic…» и ссылки на религиозные проповеди. Некоторые из них содержат реальные аудиозаписи, другие полностью беззвучны. Подкасты часто датированы несколькими годами ранее, но почему-то показываются пользователям только сейчас.
Эксперт по безопасности macOS Патрик Уордл из организации Objective-See подтвердил, что смог воспроизвести похожее поведение через неназываемый веб-сайт, демонстрирующий такое поведение приложения. По его словам, простого посещения сайта достаточно, чтобы запустить Apple Podcasts, причем без каких-либо запросов на разрешение от пользователя. Уордл отметил, что само по себе такое поведение не является атакой, но создает эффективный механизм доставки контента, если в приложении существует уязвимость.
Один из подозрительных подкастов пытается направить пользователей на сайт, который проводит XSS-атаку (межсайтовый скриптинг). Это тип атаки, при котором хакер внедряет вредоносный код в легитимно выглядящий сайт. Ссылка находится в разделе Show Website на странице подкаста и перенаправляет на другой сайт, где появляется всплывающее окно с сообщением об XSS-атаке. Один из пользователей оставил отзыв в приложении несколько недель назад с вопросом: «Как Apple допускает эту попытку XSS-атаки?»
Отмечается, что Apple не ответила на пять запросов комментария по этой теме за несколько месяцев, хотя отвечала на письма автора издания по другим темам в тот же период. Уордл подчеркнул, что неясно, удались ли какие-либо из этих попыток атак, но уровень активности показывает, что злоумышленники знают об уязвимости и активно рассматривают приложение Podcasts как потенциальную цель.
Ранее исследователи из Венского университета собрали данные о 3,5 млрд пользователей WhatsApp, пользуясь уязвимостью в веб-версии сервиса: она позволяла проверять наличие аккаунтов по номеру телефона и видеть имя и фото профиля при открытых настройках приватности. При этом ограничений по частоте запросов к серверу (рейт-лимитов) в сервисе предусмотрено не было, что позволяло проверять до 100 млн номеров в час.