Із додатком Apple Podcasts відбувається щось дуже дивне. Хтось намагається втручатися в його роботу. Протягом останніх кількох місяців користувачі помічають, що і у версії для iOS, і у версії для Mac додаток починає сам по собі відкривати подкасти про релігію, духовність та освіту без будь-якої логіки.
Іноді достатньо просто розблоковати комп’ютер — і програма вже запущена і показує дивні подкасти. До того ж, принаймні на одній сторінці подкасту в застосунку є посилання на потенційно шкідливий вебсайт. Ось кілька назв дуже дивних подкастів, які нещодавно з’являлися: “5../XEWE2′””"″onclic…”, “free will, free will on SermonAudio”, “Leonel Pimentahttps://play[.]google[.]com/store/apps”, “open[.]spotify[.]com/playlist/53…”. Також буває арабський подкаст, який перекладається як “Слова життя” і містить чиюсь адресу Gmail. Іноді ці подкасти мають реальний аудіоконтент (наприклад, релігійну проповідь), а іноді — повністю без звуку. Багато з них записані кілька років тому, але з невідомих причин показуються зараз.
“Найбільш тривожна поведінка — це здатність програми запускатися автоматично з подкастом, який обрав зловмисник. Я зміг відтворити схожу поведінку через вебсайт: достатньо просто відвідати сайт, і програма Podcasts відкриється (і завантажить подкаст, обраний атакувальником), і на відміну від інших зовнішніх запусків програм у macOS (наприклад Zoom), немає жодного попередження чи запиту дозволу. Сам по собі цей механізм не є атакою. Але він може стати дуже ефективним способом доставки, якщо в додатку Podcasts існує вразливість”, — каже Патрік Уордел, експерт Objective-See — організації з безпеки macOS.
При цьому Apple, як кажуть користувачі, вже місяцями ігнорує їх запити. Тим часом користувачам Apple слід бути уважними: хтось уже намагався використати Podcasts більш шкідливо. Йдеться про перший згаданий подкаст із назвою “5../XEWE2′””"″onclic…”. Він перенаправляє слухачів на сайт, який намагається виконати XSS-атаку (cross-site scripting). XSS — це коли хакер впроваджує свій шкідливий код у сайт, який виглядає легітимним. Сьогодні це вважається доволі простим методом атаки, але 10 років тому він був неймовірно поширеним — тоді невідомий вірус атакував MySpace.
Дивне посилання міститься в розділі “Show Website” на сторінці подкасту. Перехід веде на сайт “test[.]ddv[.]in[.]ua.”, де з’являється спливаюче повідомлення: “XSS. Domain: test[.]ddv[.]in[.]ua.” Сам подкаст датований приблизно 2019 роком. У відгуках місячної давнини користувачі дивуються – “як Apple дозволяє такі XSS-атаки?”. Фахівці не знають, чи була якась з цих атак успішною, але такий рівень зондування показує, що зловмисники активно вивчають Apple Podcasts як потенційну ціль, і це стається не вперше. Загалом вся історія нагадує спам у Google Calendar, коли хтось потай додавав події з лінками або повідомленнями – це було великою проблемою кілька років тому.
Джерело: 404media