Исследователи безопасности обнаружили подозрительную активность в приложении Apple «Подкасты», которая может использоваться для доставки пользователям вредоносного контента.
_0_large.jpg)
Джозеф Кокс из 404Media рассказал, как заметил, что с этим приложением происходит что-то странное.
В последние несколько месяцев я обнаружил, что и в iOS, и в Mac-версии приложения Podcasts подкасты на религиозную, духовную и образовательную тематику открываются без какой-либо видимой причины. Иногда, когда я разблокирую свой компьютер, приложение само запускается и показывает мне один из этих странных подкастов. Вдобавок ко всему, по крайней мере одна из страниц подкастов в приложении содержит ссылку на потенциально вредоносный сайт.
Был ещё один подкаст с названием на арабском, которое можно примерно перевести как «Слова жизни», и с чьей-то адресом Gmail. Иногда в подкастах есть настоящий звук (один из них был религиозной проповедью), а иногда — полная тишина. Подкастам часто много лет, но по какой-то причине они показываются мне только сейчас.
Автор проверил один из подкастов, и обнаружил в описании ссылку. Посредством этой ссылки подкаст пытается направить слушателей на сайт, который пытается выполнить межсайтовый скриптинг (XSS-атаку). Это фактически внедрение хакером собственного вредоносного кода на веб-сайт, который в остальном выглядит нормальным.
Ссылка находится в разделе «Показать сайт» на странице подкаста. Переход по ней перенаправляет на другой сайт. Затем появляется всплывающее окно с сообщением «XSS. Домен: название домена». Что интересно, в отзывах к приложению «Подкасты» кто-то уже наткнулся на ту же проблему, так как пользователь задаётся вопросом, каким образом Apple допускает XSS-атаку.
Автор обратился к эксперту по безопасности macOS Патрику Уордлу. Он отметил, что основная проблема подкастов в том, что их можно запустить прямо по ссылке с любого другого сайта, при том что сторонним приложениям для запуска потребовалось бы подтверждение.
Я воспроизвёл похожее поведение, хотя и через веб-сайт: достаточно просто зайти на веб-сайт, чтобы запустить подкасты (и загрузить подкаст по выбору злоумышленника), и, в отличие от запуска других внешних приложений на macOS (например, Zoom), не требуется никаких запросов или одобрений пользователя.
Конечно, стоит подчеркнуть, что само по себе это не атака. Но это создаёт очень эффективный механизм доставки, если в приложении «Подкасты» действительно есть уязвимость.
Пока неясно, увенчались ли эти попытки успехом, но уровень проверки показывает, что злоумышленники активно оценивают приложение Podcasts как потенциальную цель
Уордл отмечает, что уже несколько месяцев пытается связаться с Apple по этому поводу, но компания не отвечает. Возможно, она отреагирует теперь, когда информация попала в СМИ.
-
Intel готовит нас к GPU с потреблением 5 кВт. Компания расскажет о технологиях корпусировки, позволяющих создавать такие чипы
28.11.2025 14:02:00 | iXBT.com
В «Дикси» можно будет купить товары 18+ на кассах самообслуживания с помощью Мax
28.11.2025 13:58:40 | Ведомости
Операционная система «Aluminium» от Google заменит ChromeOS на ноутбуках
28.11.2025 13:54:06 | TechCult.ru
Core Ultra 9 285K за год стал быстрее в некоторых случаях вдвое. Авторы Phoronix провели тесты в Linux и сравнили с прошлогодними
28.11.2025 13:54:00 | iXBT.com
Сюда можно будет установить новые 86-ядерные CPU Intel. Засветилась первая системная плата для линейки Xeon 600
28.11.2025 13:44:00 | iXBT.com
Это RTX 5090 с жидкостным охладителем и вентиляторами Noctua. Sycom выпустила модель GeForce RTX 5090 Hydro LC Plus
28.11.2025 13:20:00 | iXBT.com
Россиянин отсудил у Toyota рекордные 36 млн рублей за бракованный Land Cruiser 200
28.11.2025 13:13:00 | iXBT.com
Samsung разрабатывает совершенно новую память NAND, которая может потреблять на 96% меньше энергии
28.11.2025 13:07:00 | iXBT.com
Затопят — раз и навсегда. Модули МКС не будут использовать после свода с орбиты
28.11.2025 12:45:00 | iXBT.com
Таможни Приморья начали работать круглосуточно на фоне стремительного роста количества ввозимых в Россию автомобилей
28.11.2025 12:43:00 | iXBT.com
Рынок лизинга телеком-оборудования может достичь 25 млрд рублей к 2030 году
28.11.2025 12:30:00 | Ведомости
Насколько россияне лояльны к брендам своих смартфонов? Пользователи Apple, Realme и Samsung чаще всего переходили на Xiaomi
28.11.2025 12:28:00 | iXBT.com
7000 мА·ч, 80 Вт, ИК-излучатель, 200 Мп и подэкранный сканер. У Realme 16 Pro будет старшая версия Realme 16 Pro+ 5G
28.11.2025 12:26:00 | iXBT.com
Новые смартфоны Honor GT2 сертифицированы в Китае с поддержкой 100-ваттной зарядки. Прототип Honor GT2 получил аккумулятор емкостью 10 000 мАч
28.11.2025 12:12:00 | iXBT.com
Сначала эта компания возродила телефоны Nokia, а теперь выходит на рынок ПК. Инсайдер утверждает, что HMD выпустит ноутбук HMD Book CS-1 Flip
28.11.2025 12:08:00 | iXBT.com
Lada Iskra представили в Запорожской области: в Мелитополе откроют полноценный дилерский комплекс и автосалон АвтоВАЗа
28.11.2025 12:00:00 | iXBT.com
MARS Architects представила концепт первого в мире мотоцикла на солнечных панелях
28.11.2025 11:50:58 | TechCult.ru
Lada Niva Travel 2026 оказалась дороже, чем ожидалось. У покупателей появилось больше выбора
28.11.2025 11:37:00 | iXBT.com
С таким смартфоном можно не только в бассейн, но и в сауну. OnePlus Ace 6T получит аккумулятор на 8300 мА·ч, а также максимальную защиту IP66/68/69/69K
28.11.2025 11:28:00 | iXBT.com
От станций для домов — к зарядкам в кармане. EcoFlow выпустила крошечный внешний аккумулятор с подставкой для мобильных устройств
28.11.2025 11:13:00 | iXBT.com
В России вот-вот начнут собирать отечественный Chery Tiggo 9 под названием Tenet T9
28.11.2025 11:05:00 | iXBT.com
Дистанционный запуск скоро на УАЗах, отечественные внедорожники стали ещё более российскими
28.11.2025 10:48:00 | iXBT.com
Двигатель «ушёл» под днище: в России у кроссовера SWM G01 мотор оторвало прямо на ходу
28.11.2025 10:33:00 | iXBT.com
Ему не нужны ни чехол, ни плёнка. Первый флагман с аккумулятором 8300 мА·ч получит защиту IP66/68/69/69K, стекло Oppo Crystal Shield и прочную рамку
28.11.2025 10:26:00 | iXBT.com
Kia с мотором от Hyundai Solaris, с дилерской гарантией 2 года или 100 000 км: в России предлагают Kia KX1 от 1,8 млн рублей
28.11.2025 10:20:00 | iXBT.com
Первый в мире флагман на Qualcomm Snapdragon 8 Gen 5 с аккумулятором Glacier ёмкостью 8300 мА·ч и 100-ваттной зарядкой. OnePlus подтвердила ключевые параметры Ace 6T
28.11.2025 10:09:00 | iXBT.com
Два сверхъярких OLED-экрана, уникальный дизайн и топовые камеры. Huawei Mate X7 поступил в продажу в Китае
28.11.2025 09:59:00 | iXBT.com
Мини-флагман с большим характером, аккумулятором 6500 мАч, 90 Вт, защитой IP69/IP68, топовой камерой и Snapdragon 8 Gen 5. Появилось официальное изображение Vivo S50 Pro mini
28.11.2025 09:53:00 | iXBT.com
Volkswagen и BMW практически пропали с рынка. Китайские бренды заново формируют рейтинг самых продаваемых электромобилей в Санкт-Петербурге
28.11.2025 09:41:00 | iXBT.com
Аккумулятор 8300 мАч, 100 Вт, 165 Гц, первый на Snapdragon 8 Gen 5, IP69K. Флагманский смартфон OnePlus Ace 6T поступит в продажу 19 декабря в Китае
28.11.2025 09:26:00 | iXBT.com
-
Кибератака на Jaguar Land Rover привела к резкому падению производства автомобилей
29.11.2025 19:30:45 | ferra.ru
Японцы заставят вас полюбить спорт, даже если вы к нему равнодушны
29.11.2025 19:15:02 | КИНО-ТЕАТР.РУ
Комедию «Бэби-бум» с Дайан Китон адаптируют для современного зрителя
29.11.2025 18:30:02 | КИНО-ТЕАТР.РУ
СМИ: камера будущего флагмана Samsung Galaxy S27 Ultra не станет больше
29.11.2025 17:15:40 | ferra.ru
Microsoft так и не добилась скорости Проводника в Windows 11 как в «десятке»
29.11.2025 17:06:40 | ferra.ru
Посвятить время себе: куда поехать отдохнуть и восстановить силы, если батарейка ресурса на нуле
29.11.2025 16:45:06 | Woman.ru
Выходящий в 2026 году смартфон Motorola оказался не той моделью, что ждали
29.11.2025 16:30:39 | ferra.ru
Путин признался, что его часто спрашивают, что делать со старыми аккумуляторами
29.11.2025 16:25:38 | ferra.ru
Обри Плаза составит компанию Майклу Б. Джордану в новой «Афере Томаса Крауна»
29.11.2025 16:15:02 | КИНО-ТЕАТР.РУ
Минцифры объяснили, как быстро вернуть интернет иностранной сим-карте в РФ
29.11.2025 16:10:19 | ferra.ru
Печенье «Сугробы» (пошаговый рецепт), пошаговый рецепт с фото от автора Готовить Просто на 392 ккал
29.11.2025 16:00:00 | ГАСТРОНОМЪ
Дзен, кунг-фу и затаившийся дракон: знакомимся с китайским жанром уся
29.11.2025 15:30:02 | КИНО-ТЕАТР.РУ
Китайская DeepSeek создала ИИ-модель по математике уровня олимпиадника
29.11.2025 15:29:30 | ferra.ru
Директор Долиной не стал молчать в ответ на отмену певицы — он раскрыл все карты
29.11.2025 15:21:14 | Woman.ru
Похоже, Apple производство своего процессора M7 поручит компании Intel
29.11.2025 15:19:54 | ferra.ru
Обновление c обменом файлами между Android и iPhone «сломало» Wi-Fi на Pixel 10
29.11.2025 15:01:16 | ferra.ru
Техническая поддержка проекта ВсеТут