最新消息显示,科技媒体404Media于1月27日发布专题报道,揭露苹果播客应用存在严重安全隐患——多名用户反馈该应用会在未经操作的情况下自动启动,并直接跳转到从未订阅的陌生频道。
消息人士指出,近期不少苹果用户在体验播客应用时遇到了令人困惑的状况:无需进行任何操作,Apple Podcasts就会自动在后台激活,并直接跳转到某些涉及“灵性与教育”类别的陌生节目。这并非单一设备故障,而是一场波及范围较广的系统级安全漏洞。

经该媒体深入分析发现,这些自动加载的播客节目并非普通的垃圾内容,其标题往往包含类似“5..XEWE2′”的乱码字符,这实际上是黑客试图实施“跨站脚本攻击”的典型手段。
报道进一步说明,攻击者将恶意代码注入播客标题或描述信息中,试图诱导设备执行非预期指令。尽管404Media指出目前的攻击手法相对初级,主要造成用户体验干扰,尚未发现直接的数据窃取行为,但这一事件无疑暴露出应用在代码过滤机制方面存在的明显缺陷。
macOS安全专家、Objective-See创始人帕特里克·沃德尔成功复现了该漏洞。他指出,核心风险在于苹果允许外部链接在“零点击”且“无授权提示”的情况下,直接唤醒播客应用。
与Zoom等应用在外部唤醒时会弹出确认对话框的机制不同,攻击者只需诱导用户访问植入了特定脚本的网页,即可在后台强制控制播客应用的启动与内容加载。这种安全机制若与其他更严重的系统漏洞结合,可能引发的后果将不堪设想。
