L'app Apple Podcasts si comporta in modo strano e potrebbe diventare un problema di sicurezza

Le app di Apple sono, solitamente, sicure e ben ottimizzate, con una cura maniacale di tutti gli aspetti necessari per un corretto funzionamento. Come conferma un nuovo report di 404 Media, però, di recente è emerso uno strano comportamento con l'app Apple Podcasts per macOS e iOS che, potenzialmente, può tradursi in un problema di sicurezza.

Qualcosa non va per l'app Apple Podcasts

Come evidenziato dal report, l'app Apple Podcasts, in alcuni casi, avvia in automatico dei contenuti audio, spesso legati alla spiritualità e alla religione oppure completamente silenziosi. I titoli sono spesso casuali o fanno riferimento a URL esterni. In almeno un caso, inoltre, è stato evidenziato un redirect a un sito esterno che tenta di eseguire un attacco XSS (Cross-Site Scripting).

Si tratta di un particolare tipo di attacco informatico in cui del codice dannoso viene inserito all'interno di una pagina web. Questa tipologia di attacco informatico oggi non è molto utilizzata.

Il problema sembra in qualche modo essere collegato alla possibilità di avviare automaticamente l'app da un link, anche senza che l'utente debba premere sul link in questione.

Secondo Patrick Wardle, esperto di sicurezza macOS e creatore dell'organizzazione di sicurezza informatica Objective-See, la questione più preoccupante è che l'app possa essere avviata in automatico con un podcast scelto dall'aggressore: "Ho replicato un comportamento simile, anche se tramite un sito web: la semplice visita di un sito web è sufficiente per attivare l'apertura di Podcast (e caricare un podcast scelto dall'aggressore) e, a differenza di altri lanci di app esterne su macOS (ad esempio Zoom), non è richiesta alcuna approvazione da parte dell'utente".