Un recente report firmato da 404Media segnala un comportamento insolito (e potenzialmente pericoloso) dell’app Apple Podcast su iOS e macOS: in alcuni casi l’app si apre automaticamente, senza intervento dell’utente, presentando podcast dalle tematiche religiose, spirituali o formative, spesso con titoli strani contenenti URL o frammenti di codice.
Secondo quanto riportato, basterebbe visitare un sito malevolo per far scattare l’apertura automatica del podcast “maligno”. In una delle tracce segnalate, il podcast contiene un link che porta a un indirizzo che sembra predisposto per un attacco di tipo cross‑site scripting (XSS).
Un esperto di sicurezza, Patrick Wardle (autore del progetto di sicurezza macOS/Objective‑See), ha replicato il comportamento: visitando semplicemente un sito web, è riuscito a far aprire l’app Podcasts con un podcast scelto da hacker, senza che apparisse alcuna richiesta di autorizzazione all’utente.
Il problema principale non è tanto il podcast in sé, quanto il meccanismo che viene messo in atto. Il caricamento automatico e senza consenso di contenuti suggerisce che l’app può essere utilizzata come “porta d’ingresso” per landing page malevole. Se un podcast contiene un link a una pagina compromessa, questo può rappresentare una potenziale minaccia.
Anche se al momento non risulta che la situazione abbia causato attacchi su larga scala, la vulnerabilità espone gli utenti a un rischio concreto: un semplice click (o visita a un sito manipolato) potrebbe innescare un attacco. La facilità con cui l’app può essere “attivata” da siti esterni (senza prompt, autorizzazioni o avvisi) rende la potenziale superficie di attacco ampia.
Nel complesso, anche se non siamo davanti a un attacco conclamato su larga scala, il fatto che la vulnerabilità consista in un meccanismo di apertura automatica rende la situazione degna di seria attenzione.
Al momento dell’indagine di 404Media, Apple non ha risposto alle numerose richieste di chiarimento o commento.
