پژوهشگران امنیتی بر پایه گزارشی از 404Media توسط جوزف کاکس، فعالیتهای مشکوکی را در برنامه Podcasts اپل شناسایی کردهاند که میتوانند برای تحویل محتوای مخرب به کاربران به کار روند.
گزارش جوزف کاکس تجربههای عجیبی را با برنامه Podcasts توصیف میکند که به وضوح نشان میدهد مشکلی نامطلوب در نسخههای iOS و macOS این برنامه وجود دارد. او میگوید در ماههای اخیر، برنامه بدون دخالت او بهصورت خودکار اجرا شده و پادکستهای غیرمعمولی را نمایش میدهد. در مک و آیفون، برنامه پادکستهایی مربوط به دین، معنویت و آموزش را بدون دلیل واضح باز میکند؛ در برخی موارد حتی به محض قفلگشایی کاکس، این پادکستها بهطور خودکار اجرا میشوند.
پادکستهای مذکور اغلب عناوین غیرمعمولی دارند که شامل تکههای کد، پیوندهای وب (URL) و گاهی سعی در انجام حملات اسکریپتنویسی بینسایتی (XSS) میشود.
کارشناس امنیتی Objective‑See، پاتریک واردهِل، به کاکس گفت که توانسته رفتار مشابهی را بازتولید کند، اما در مورد او از طریق یک وبسایت. «به سادگی بازدید از یک وبسایت کافی است تا Podcasts باز شود (و پادکستی به انتخاب مهاجم بارگذاری شود)، و برخلاف دیگر راهاندازیهای خارجی برنامهها در macOS، نیازی به اعلان یا تأیید کاربر نیست»، واردهِل به 404 Media گفت.
یک پادکست بهویژه نگرانکننده بهنظر میرسد شامل لینکی باشد که به سایتی هدایت میکند که در حال تلاش برای انجام حمله XSS است – تکنیکی که در آن مهاجمان کد مخرب را به وبسایتهای ظاهراً مشروع تزریق میکنند. وقتی به این سایت مراجعه میشود، یک پنجره pop‑up نمایش میدهد که تلاش XSS شناسایی شده است.
واردهِل خاطرنشان میکند که اگرچه این رفتار بهتنهایی خطر فوریای ندارد، اما در صورت وجود آسیبپذیری در برنامه Podcasts، میتواند مکانیزم مؤثری برای تحویل محتوا فراهم کند. او میگوید: «سطح بررسی نشان میدهد که مهاجمان بهطور فعال برنامه Podcasts را بهعنوان هدفی بالقوه ارزیابی میکنند.»
این وضعیت شباهتهایی به گزارشهای هرزنامه گوگلکَلندَر (Google Calendar) چند سال پیش دارد، که در آن مهاجمان رویدادهای ناخواسته شامل پیوندها یا محتوای تبلیغاتی را به تقویم کاربران اضافه میکردند.
شرکت اپل به درخواستهای متعدد کاکس برای اظهار نظر درباره این مشکل پاسخی نداد. آیا برنامه Podcasts در تجربه شما رفتار غیرعادی مشابهی نشان داده است؟ نظرات خود را در بخش کامنتها با ما در میان بگذارید.
برچسبها: پادکستهای اپل، امنیت