Apple Podcasts настійливо пропонує релігійні подкасти зі шкідливими посиланнями

С приложением Apple Podcasts происходит что-то очень странное. Кто-то пытается вмешиваться в его работу. В течение последних нескольких месяцев пользователи замечают, что и в версии для iOS, и в версии для Mac приложение начинает само по себе открывать подкасты о религии, духовности и образовании без какой-либо логики.

Иногда достаточно просто разблокировать компьютер — и программа уже запущена и показывает странные подкасты. К тому же, по крайней мере на одной странице подкаста в приложении есть ссылка на потенциально вредоносный веб-сайт. Вот несколько названий очень странных подкастов, которые недавно появлялись: «5../XEWE2′»»&#x22 «onclic…», «free will, free will on SermonAudio», «Leonel Pimentahttps://play[.]google[.]com/store/apps», «open[.]spotify[.]com/playlist/53…». Также бывает арабский подкаст, который переводится как «Слова жизни» и содержит чей-то адрес Gmail. Иногда эти подкасты имеют реальный аудиоконтент (например, религиозную проповедь), а иногда — полностью без звука. Многие из них записаны несколько лет назад, но по неизвестным причинам показываются сейчас.

«Наиболее тревожное поведение — это способность приложения запускаться автоматически с подкастом, который выбрал злоумышленник. Я смог воспроизвести похожее поведение через веб-сайт: достаточно просто посетить сайт, и программа Podcasts откроется (и загрузит подкаст, выбранный атакующим), и в отличие от других внешних запусков программ в macOS (например Zoom), нет никакого предупреждения или запроса разрешения. Сам по себе этот механизм не является атакой. Но он может стать очень эффективным способом доставки, если в приложении Podcasts существует уязвимость», — говорит Патрик Уордел, эксперт Objective-See — организации по безопасности macOS.

При этом Apple, как говорят пользователи, уже месяцами игнорирует их запросы. Тем временем пользователям Apple следует быть внимательными: кто-то уже пытался использовать Podcasts более вредно. Речь идет о первом упомянутом подкасте под названием «5../XEWE2»»&#x22 «onclic…». Он перенаправляет слушателей на сайт, который пытается выполнить XSS-атаку (cross-site scripting). XSS — это когда хакер внедряет свой вредоносный код в сайт, который выглядит легитимным. Сегодня это считается довольно простым методом атаки, но 10 лет назад он был невероятно распространенным — тогда неизвестный вирус атаковал MySpace.

Странная ссылка находится в разделе «Show Website» на странице подкаста. Переход ведет на сайт «test[.]ddv[.]in[.]ua.», где появляется всплывающее сообщение: «XSS. Domain: test[.]ddv[.]in[.]ua.» Сам подкаст датирован примерно 2019 годом. В отзывах месячной давности пользователи недоумевают — «как Apple позволяет такие XSS-атаки?». Специалисты не знают, была ли какая-то из этих атак успешной, но такой уровень зондирования показывает, что злоумышленники активно изучают Apple Podcasts как потенциальную цель, и это происходит не впервые. В общем, вся история напоминает спам в Google Calendar, когда кто-то тайно добавлял события с ссылками или сообщениями — это было большой проблемой несколько лет назад.

Источник: 404media