关键词
bug
科技媒体 404Media(11 月 27 日)发布博文,报道称苹果播客(Apple Podcasts)曝出安全隐患,多名用户反映该应用会自动打开并跳转至未订阅的陌生节目。
消息源指出不少苹果用户近期遭遇了令人困惑的体验:手中的 Apple Podcasts 应用会在未经任何操作的情况下自动启动,并直接跳转至某些关于 " 灵性或教育 "(religion, spirituality, and education)类别的陌生节目。这并非单一的设备故障,而是一场波及范围较广的安全骚扰。
该媒体进一步分析发现,这些自动加载的播客节目并非普通的垃圾内容,其标题往往包含类似 "5../XEWE2 ′ " 的乱码字符,这实际上是黑客试图实施 " 跨站脚本攻击 "(XSS)的手段。
博文介绍,攻击者将恶意代码注入播客标题或描述中,试图诱导设备执行非预期的指令。尽管 404 Media 指出,目前的攻击手段相对初级,主要造成用户困扰,而非直接的数据窃取,但这无疑暴露了应用在代码过滤层面的短板。
macOS 安全专家、Objective-See 创始人帕特里克沃德尔(Patrick Wardle)复现该漏洞。他指出,核心风险在于苹果允许外部链接在 " 零点击 " 且 " 无授权提示 " 的情况下直接唤醒播客应用。
与 Zoom 等应用在外部唤醒时会弹出 " 是否打开 " 的确认框不同,攻击者只需诱导用户访问植入了特定脚本的网页,即可在后台强制控制播客应用的启动与加载。这种机制若与更严重的系统漏洞结合,后果将不堪设想。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴