11月28日消息,科技媒体404Media昨日(11月27日)发布博文披露,苹果播客应用近期被曝存在安全隐患,多位用户反映该应用会自动打开并跳转到陌生节目页面,而这些节目此前并未订阅。
报道进一步指出,不少苹果用户近期遭遇了让人困惑的使用体验:设备中的Apple Podcasts应用会在用户没有任何操作的情况下自动启动,并直接跳转到某些关于“灵性或教育”类别的陌生节目界面。这并非单一设备故障,而是一次波及范围较广的安全骚扰事件。
该媒体通过深入分析发现,这些自动加载的播客节目并非普通的垃圾内容,其标题中常常包含类似“5..XEWE2′”的乱码字符——这实际上是黑客试图实施“跨站脚本攻击”的典型手段。
根据其引述的博客说明,攻击者将恶意代码嵌入播客标题或描述信息中,试图诱导设备执行非预期指令。尽管404Media指出当前攻击手段相对初级,主要造成用户使用困扰而非直接数据窃取,但这无疑暴露了应用在代码过滤机制方面的短板。
macOS安全专家、Objective-See创始人帕特里克·沃德尔成功复现了该漏洞。他强调,核心风险在于苹果允许外部链接在“零点击”且“无授权提示”的情况下直接唤醒播客应用,这与多数应用的安全机制形成鲜明对比。
与Zoom等应用在外部唤醒时会弹出“是否打开”确认框的设计不同,攻击者只需诱导用户访问植入特定脚本的网页,即可在后台强制控制播客应用的启动与内容加载。这种机制若与更严重的系统漏洞结合,可能引发的后果将不堪设想。
