Сначала проповедь, потом кража данных. Apple игнорирует опасную дыру в защите Podcasts

Apple Podcasts самопроизвольно открывает странные религиозные и «образовательные» подкасты и в некоторых случаях ведёт пользователей на потенциально вредоносные сайты. Специалисты обнаружили, что приложение можно незаметно запустить извне и заставить его показать подкаст, выбранный злоумышленником, а один из таких подкастов ведёт на страницу с попыткой XSS-атаки.

В течение последних месяцев специалист заметил, что Apple Podcasts на iOS и macOS периодически запускается сам по себе и открывает странные религиозные, духовные или образовательные подкасты. Иногда после разблокировки компьютера пользователь обнаруживает, что приложение уже запущено и показывает какой-то давний подкаст с бессмысленным названием или даже с чужим Gmail в заголовке. Часть выпусков действительно содержит аудиозаписи проповедей, но другие оказываются полностью немыми — как будто сделанными только ради присутствия в каталоге.

Кажется, что это не обычный баг интерфейса, а чья-то целенаправленная попытка «поиграться» с Apple Podcasts и его пользователями. Уорделу удалось воспроизвести похожее поведение через веб-страницу: достаточно просто зайти на сайт, и система без каких-либо предупреждений автоматически открывает Apple Podcasts с подкастом, который выбрал атакующий. В отличие от многих других приложений, вроде Zoom, macOS при этом не показывает никаких подтверждений на запуск сторонней программы.

Сам по себе такой автозапуск ещё не является полноценной атакой, признаёт эксперт. Но он создаёт удобный «доставочный механизм», если в самом приложении обнаружится уязвимость. Фактически злоумышленник получает гарантированный способ заставить десятки и сотни тысяч машин открыть конкретный экран в Apple Podcasts, вообще не взаимодействуя с пользователем.

При этом уже есть пример более явной попытки злоупотребления. Один из загадочных подкастов, фигурирующий в расследовании, имеет мусорное имя вроде «5../XEWE2'""""…» и ведёт на сайт, который пробует выполнить XSS-атаку (cross-site scripting). Такая атака позволяет внедрить чужой код на внешнюю страницу, которая выглядит доверенной, и затем использовать его, например, для кражи данных пользователей. Сейчас XSS считается скорее «низковисящим фруктом» по меркам безопасности, но всё ещё активно используется.

В описании подкаста этот вредоносный URL скрыт в поле «Show Website». При переходе пользователь попадает на домен вида test[.]ddv[.]in[.]ua, где появляется всплывающее окно с сообщением «XSS» и указанием домена — как будто кто-то тестирует и демонстрирует сам факт уязвимости. В отзывах к подкасту уже появились жалобы: один из слушателей напрямую называет это «попыткой XSS-атаки» и не понимает, «как Apple вообще допускает подобное в каталоге».

Пока неизвестно, удалось ли кому-то реально эксплуатировать такие цепочки — от странного подкаста до эксплуатации возможной уязвимости. Однако, по словам Уордела, очевидно, что кто-то систематически «щупает» Apple Podcasts на прочность, проверяя, насколько его можно использовать как площадку для атак. По ощущениям автора, вся ситуация напоминает старую волну спама в Google Календаре, когда злоумышленники массово добавляли события с фишинговыми ссылками.

На фоне всего этого ещё более странным выглядит молчание Apple: согласно материалу, компания проигнорировала пять отдельных запросов журналиста 404 Media с просьбой прокомментировать происходящее, при том что на другие темы за тот же период отвечала. Формально речь пока не о критической уязвимости, но именно такие «мелкие странности» часто становятся первым сигналом, что популярный сервис превратился в удобную площадку для экспериментов и будущих атак.