Исследователи безопасности обнаружили подозрительную активность в приложении Apple «Подкасты», которая может использоваться для доставки пользователям вредоносного контента.  

Джозеф Кокс из 404Media рассказал, как заметил, что с этим приложением происходит что-то странное.  

В последние несколько месяцев я обнаружил, что и в iOS, и в Mac-версии приложения Podcasts подкасты на религиозную, духовную и образовательную тематику открываются без какой-либо видимой причины. Иногда, когда я разблокирую свой компьютер, приложение само запускается и показывает мне один из этих странных подкастов. Вдобавок ко всему, по крайней мере одна из страниц подкастов в приложении содержит ссылку на потенциально вредоносный сайт.  

Был ещё один подкаст с названием на арабском, которое можно примерно перевести как «Слова жизни», и с чьей-то адресом Gmail. Иногда в подкастах есть настоящий звук (один из них был религиозной проповедью), а иногда — полная тишина. Подкастам часто много лет, но по какой-то причине они показываются мне только сейчас. 

Автор проверил один из подкастов, и обнаружил в описании ссылку. Посредством этой ссылки подкаст пытается направить слушателей на сайт, который пытается выполнить межсайтовый скриптинг (XSS-атаку). Это фактически внедрение хакером собственного вредоносного кода на веб-сайт, который в остальном выглядит нормальным.

Ссылка находится в разделе «Показать сайт» на странице подкаста. Переход по ней перенаправляет на другой сайт. Затем появляется всплывающее окно с сообщением «XSS. Домен: название домена». Что интересно, в отзывах к приложению «Подкасты» кто-то уже наткнулся на ту же проблему, так как пользователь задаётся вопросом, каким образом Apple допускает XSS-атаку. 

Автор обратился к эксперту по безопасности macOS Патрику Уордлу. Он отметил, что основная проблема подкастов в том, что их можно запустить прямо по ссылке с любого другого сайта, при том что сторонним приложениям для запуска потребовалось бы подтверждение. 

Я воспроизвёл похожее поведение, хотя и через веб-сайт: достаточно просто зайти на веб-сайт, чтобы запустить подкасты (и загрузить подкаст по выбору злоумышленника), и, в отличие от запуска других внешних приложений на macOS (например, Zoom), не требуется никаких запросов или одобрений пользователя.

Конечно, стоит подчеркнуть, что само по себе это не атака. Но это создаёт очень эффективный механизм доставки, если в приложении «Подкасты» действительно есть уязвимость.

Пока неясно, увенчались ли эти попытки успехом, но уровень проверки показывает, что злоумышленники активно оценивают приложение Podcasts как потенциальную цель 

Уордл отмечает, что уже несколько месяцев пытается связаться с Apple по этому поводу, но компания не отвечает. Возможно, она отреагирует теперь, когда информация попала в СМИ.