Αν είχατε τα Apple Podcasts να ανοίγουν τυχαία σε μια εκπομπή στην οποία δεν έχετε εγγραφεί, δεν είστε οι μόνοι. Να τι συμβαίνει.
Ένα νέο αναφορά από 404 Μέσα περιγράφει μια περίεργη κατάσταση στην οποία η εφαρμογή Apple Podcasts φαίνεται να ανοίγει χωρίς προτροπή, συνήθως σε ένα podcast “θρησκείας, πνευματικότητας και εκπαίδευσης”.
Κάνοντας τα πράγματα ακόμα πιο περίεργα, τουλάχιστον ένα podcast παρουσίασε έναν δυνητικά κακόβουλο σύνδεσμο, ο οποίος θα μπορούσε να ενεργοποιήσει μια παλιά μέθοδο επίθεσης γνωστή ως cross-site scripting ή XSS.
404 Μέσα σημειώνει ότι ενώ το ζήτημα είναι ενοχλητικό, δεν ενέχει άμεσο κίνδυνο για τους χρήστες. Ωστόσο, αφήνει την πόρτα ανοιχτή σε ένα δυνητικά πιο σοβαρό πρόβλημα εάν κάποιος ανακαλύψει μια ευπάθεια στην εφαρμογή που θα μπορούσε να εκμεταλλευτεί σε συνδυασμό με αυτήν τη συμπεριφορά.
Από το έκθεση:
“Έτσι, κάποιος προσπάθησε να προσφέρει κάτι λίγο πιο κακόβουλο μέσω της εφαρμογής Podcasts. Είναι το πρώτο podcast που ανέφερα, με τον τίτλο “5../XEWE2″”””onclic…”. Ίσως κάποιοι αναγνώστες να το έχουν ήδη καταλάβει, αλλά το podcast προσπαθεί να κατευθύνει τους ακροατές σε έναν ιστότοπο που επιχειρεί να εκτελέσει μια επίθεση μεταξύ ιστότοπων scripting ή XSS. Το XSS είναι βασικά όταν ένας χάκερ εισάγει τον δικό του κακόβουλο κώδικα σε έναν ιστότοπο που κατά τα άλλα φαίνεται νόμιμος. Είναι σίγουρα ένα είδος επίθεσης με χαμηλό φρούτο, τουλάχιστον σήμερα. Θυμάμαι ότι ήταν πολύ πιο συνηθισμένο πριν από 10 χρόνια, και τελικά ήταν αυτό που οδήγησε στο διαβόητο worm MySpace».
404 Μέσα επίσης σημειώνει ότι ορισμένες δείχνουν ότι το αυτόματο άνοιγμα στα Apple Podcasts χρονολογείται τουλάχιστον από το 2019, με περιστασιακά επεισόδια που είναι είτε εντελώς αθόρυβα είτε σε άλλες γλώσσες εκτός από τα αγγλικά.
Ως 9 έως 5 Mac Οι αναγνώστες πιθανότατα θα θυμούνται ότι αυτή δεν είναι η πρώτη φορά που μια υπηρεσία ή μια πλατφόρμα της Apple αντιμετωπίζει προβλήματα όπως αυτό. Μόλις πριν από λίγους μήνες, υπήρξε μια αναζωπύρωση των ανεπιθύμητων κρυπτογράφησης στο Ημερολόγιο της Apple και το iMessage αντιμετώπισε επίσης προβλήματα ανεπιθύμητης αλληλογραφίας στο παρελθόν.
Με τα χρόνια, η Apple έχει εφαρμόστηκε πολλαπλές ρυθμίσεις χρήστη και φίλτρα σε επίπεδο συστήματος για τον περιορισμό αυτού του είδους ανεπιθύμητων μηνυμάτων, αλλά οι κακοί ηθοποιοί φαίνεται να γίνονται όλο και πιο δημιουργικοί στην εύρεση τρόπων παράκαμψης των προστασιών της Apple.
Στην περίπτωση των Apple Podcast, το πρόβλημα φαίνεται να προέρχεται από τη δυνατότητα αυτόματης εκκίνησης της εφαρμογής από έναν σύνδεσμο, χωρίς να απαιτείται από τον χρήστη να κάνει πραγματικά κλικ σε οτιδήποτε.
Από το έκθεση:
«Η πιο ανησυχητική συμπεριφορά είναι ότι η εφαρμογή μπορεί να ξεκινήσει αυτόματα με ένα podcast της επιλογής του εισβολέα», είπε ο Patrick Wardle, ειδικός σε θέματα ασφάλειας macOS και δημιουργός του οργανισμού κυβερνοασφάλειας Objective-See. επιλέγοντας) και σε αντίθεση με άλλες εξωτερικές εκκινήσεις εφαρμογών στο macOS (π.χ. Ζουμ), δεν απαιτείται προτροπή ή έγκριση από τον χρήστη».
Η 404 Media προσπάθησε να επικοινωνήσει με την Apple πολλές φορές σχετικά με το ζήτημα, αλλά λέει ότι η εταιρεία δεν απάντησε.
Σας έχει συμβεί ποτέ αυτό; Ενημερώστε μας στα σχόλια.
Προσφορές αξεσουάρ στο Amazon
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
