Under de senaste månaderna har vissa användare märkt ett märkligt beteende i Apple Podcasts. Appen öppnas spontant på både IOS och Mac OS och visar poddar som användaren inte prenumererar på. Innehållet varierar från religiösa predikningar till helt tomma ljudfiler, och flera av dem innehåller länkar till okända webbplatser.
En av poddarna som dykt upp hos drabbade användare innehöll en länk till en sajt som försöker trigga en XSS-attack (cross-site scripting). Länken låg i avsnittets avsnittsbeskrivning, i avsnittets fält “Show Website”, och ledde vidare till en sida som visade en popup med texten “XSS”. En annan användare har lämnat en recension i Apple Podcasts där beteendet beskrivs som ett bedrägeriförsök, rapporterar 404Media.
En säkerhetsanalys som refereras i artikeln visar att appen kan starta automatiskt och öppna ett specifikt poddavsnitt utan att användaren behöver ge sitt godkännande.
Patrick Wardle, Mac OS-säkerhetsexpert och grundare av Objective-See, säger: ”Det mest oroande är att appen kan starta automatiskt med ett avsnitt valt av en angripare. Jag har kunnat återskapa liknande beteende via en webbsida. Att bara besöka en webbsida räcker för att Podcasts ska öppnas, utan någon bekräftelse från användaren”.
Wardle betonar att det inte rör sig om ett aktivt angrepp i nuläget, men att beteendet gör Podcasts-appen till en möjlig distributionskanal om en sårbarhet skulle upptäckas.
Podden med XSS-länken verkar härstamma från 2019, men av okänd anledning visas den nu för vissa användare. Fenomenet påminner om den våg av Google Calendar-spam som spreds för några år sedan där kalenderinbjudningar användes för att sprida länkar.
Apple har enligt artikeln inte kommenterat rapporterna trots upprepade förfrågningar. Det finns heller ingen information om hur många användare som drabbats eller varför poddarna dyker upp.