Si Apple Podcasts se ha abierto aleatoriamente en un programa al que no estás suscrito, no estás solo. Esto es lo que está pasando.
un nuevo informe de 404 Medios describe una situación extraña en la que la aplicación Apple Podcasts parece abrirse espontáneamente, generalmente en un podcast de «religión, espiritualidad y educación».
Lo que hace que las cosas sean aún más extrañas es que al menos un podcast ha presentado un enlace potencialmente malicioso, que podría habilitar un antiguo método de ataque conocido como cross-site scripting o XSS.
404 Medios señala que si bien el problema es molesto, no representa un riesgo inmediato para los usuarios. Sin embargo, esto deja la puerta abierta a un problema potencialmente mayor si alguien descubre una vulnerabilidad en la aplicación que podría explotarse junto con este comportamiento.
Desde informe:
«Dicho esto, alguien intentó ofrecer algo un poco más malicioso a través de la aplicación Podcasts. Este es el primer podcast que mencioné, con el título «5../XEWE2′»»»»onclic…». Tal vez algunos lectores ya lo hayan notado, pero el podcast intenta dirigir a los oyentes a un sitio que intenta realizar un ataque de secuencias de comandos entre sitios, o XSS. XSS es esencialmente cuando un hacker inyecta su propio código malicioso en un sitio web que de otro modo parecería definitivamente un ataque fácil, al menos Al menos hoy recuerdo que era mucho más común hace 10 años y que, en última instancia, fue lo que llevó al infame gusano MySpace.
404 Medios también tenga en cuenta El hecho de que algunos programas de apertura automática en Apple Podcasts se remontan al menos a 2019, con episodios ocasionales completamente silenciosos o en idiomas distintos del inglés.
Como 9to5Mac Como probablemente recordarán los lectores, esta no es la primera vez que un servicio o plataforma de Apple enfrenta problemas como este. Hace apenas unos meses, hubo un resurgimiento del spam criptográfico en Apple Calendar, e iMessage también enfrentó problemas de spam en el pasado.
A lo largo de los años, Apple ha implementado Hay varias configuraciones de usuario y filtros a nivel de sistema para ayudar a combatir este tipo de spam, pero los malos actores parecen volverse más creativos a la hora de encontrar formas de eludir las protecciones de Apple.
En el caso de Apple Podcasts, el problema parece surgir de la capacidad de iniciar automáticamente la aplicación desde un enlace, sin necesidad de que el usuario haga clic en nada.
Desde informe:
«‘El comportamiento más preocupante es que la aplicación se puede iniciar automáticamente con un podcast elegido por un atacante’, dijo Patrick Wardle, experto en seguridad de macOS y creador de la organización de ciberseguridad de Mac Objective-See. «He reproducido un comportamiento similar, aunque a través de un sitio web: simplemente visitar un sitio web activa la apertura de podcasts (y cargar un podcast elegido por el atacante) y, a diferencia de otros lanzamientos de aplicaciones externas en macOS (por ejemplo, Zoom), no se requiere solicitud ni aprobación del usuario».
404 Media ha intentado contactar a Apple varias veces sobre esto, pero dice que la compañía no ha respondido.
¿Te ha pasado esto alguna vez? Háganos saber en los comentarios.
