O pessoal do 404 Media descobriu uma possível brecha de segurança no Apple Podcasts, a qual envolve a exibição de podcasts com origens ou temáticas aleatórias (como religião e espiritualidade) e títulos estranhos (com nomes quebrados, símbolos e links que apontam para endereços fraudulentos).
Um especialista ouvido pelo site afirmou que é possível que a provável vulnerabilidade permita que um agente mal-intencionado consiga abrir automaticamente o app no macOS e faça-o carregar um podcast específico — sem pedir a devida permissão ao usuário (como geralmente ocorre no sistema).
Posts relacionados
- Apple Security Bounty passará a pagar recompensas de até US$2 milhões
- Brecha permitia acessar senhas do macOS a partir de app da Microsoft
- Recompensa de US$1.000 para brecha grave no Safari provoca críticas à Apple
Esse tipo de exploração pode permitir a esses agentes propagarem coisas como simplesmente spam para divulgação de produtos ou até mesmo estratégias mais sofisticadas (como ataques XSS visando roubar cookies, redirecionar usuários, abrir popups, testar vulnerabilidades, etc.).
Esses “ataques” aparentemente estão rolando pelo menos há alguns meses, mas ninguém descobriu até agora a origem ou a intenção de quem o propagou. Como supracitado, pode ser alguém simplesmente divulgando spam ou hackers tentando encontrar vulnerabilidades reais no app.
Até agora, a Apple ainda não respondeu às solicitações de esclarecimentos do site — o que pode indicar que a empresa está investigando o problema e ainda não chegou a uma solução para ele (ou que simplesmente está o ignorando).
via 9to5Mac