Apple Podcasts kan öppnas av sig självt – och forskare varnar för möjlig säkerhetslucka

Enligt sajten 9to5Mac, som hänvisar till en granskning från 404 Media, handlar det oftast om titlar i kategorin ”religion, spiritualitet och utbildning”.

Det finns ingen akut fara just nu – men beteendet oroar säkerhetsexperter eftersom det i teorin kan utnyttjas för attacker.

Så ser det märkliga felet ut

Rapporterna går ut på att Podcasts-appen ibland drar igång automatiskt och laddar en podd som användaren inte följer. Vissa av de poddar som dykt upp ska dessutom ha funnits i systemet i flera år, ända sedan 2019, och några av avsnitten ska vara tysta eller på andra språk än engelska, skriver 404 Media via 9to5Mac.

Det i sig är mest irriterande. Men ett fall sticker ut mer.

Läs också: Nvidia passerade 4 000 miljarder dollar

Poddtitel med misstänkt länk väcker frågor

I ett av exemplen hade en podd ett namn som såg ut att innehålla kod, och den pekade mot en länk som kan kopplas till ett klassiskt angreppssätt: cross-site scripting (XSS), enligt 404 Media.

XSS innebär i korthet att en angripare försöker få in skadlig kod i en annars legitim tjänst eller webbvy, för att exempelvis kunna köra skript i användarens session. Det är en välkänd metod som fortfarande förekommer, även om den är mindre vanlig i dag än för tio år sedan, skriver owasp.org. 

404 Media betonar att det här inte verkar ha lett till några faktiska attacker mot användare i nuläget. Men försöket visar att någon verkar testa gränserna för hur Podcasts kan manipuleras.

”Besöka en sajt kan räcka”

Den mest känsliga detaljen är hur appen kan triggas. macOS-experten Patrick Wardle, som driver säkerhetsorganisationen Objective-See, säger till 404 Media att han kunnat återskapa beteendet: bara genom att besöka en webbsida kan Podcasts öppnas och ladda en valfri podd – utan någon fråga eller bekräftelse från användaren.

Läs också: Apple vill köpa F1-rättigheterna

Om en angripare hittar en separat sårbarhet i appens hantering av länkar eller metadata skulle den här auto-starten kunna bli en del av ett större angrepp, enligt resonemanget i rapporten.

Inte första gången Apple brottas med spam

Det här följer ett mönster där Apples tjänster lockar spammare. 9to5Mac påminner om att Apple Calendar nyligen drabbades av en våg av kryptospam och att även iMessage haft liknande problem tidigare. Apple har byggt in filter och inställningar för att stoppa sådant – men nya metoder dyker hela tiden upp, skriver sajten.

Vad betyder det för dig?

Just nu beskriver både 404 Media och 9to5Mac läget som låg risk. Det finns inga tecken på att vanliga användare har blivit hackade via Podcasts, och det kan handla om ett irriterande men relativt harmlöst spam-fenomen.

Samtidigt är själva dörren på glänt: om appen kan startas och styras utan klick öppnar det för kreativa attacker i framtiden. Därför är det här en typ av bug som Apple sannolikt behöver täppa till – även om den inte är kritisk i dag.

Läs också: Samsung fortsätter med galna priser

Har du själv märkt att Apple Podcasts öppnas av sig självt? Då är du långt ifrån ensam, enligt rapporterna.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns