Attività sospette nell’app Apple Podcasts: possibili rischi di contenuti malevoli
Alcuni esperti hanno individuato comportamenti anomali nell’app Apple Podcasts che potrebbero essere sfruttati per distribuire contenuti malevoli agli utenti. La segnalazione arriva da Joseph Cox di 404Media, che ha documentato episodi insoliti sia su iOS che su macOS.
📱 Avvii automatici e podcast strani
Secondo Cox, negli ultimi mesi l’app si sarebbe aperta da sola mostrando podcast inattesi, senza alcun input da parte sua. Su Mac e iPhone sono comparsi programmi legati a religione, spiritualità ed educazione, in alcuni casi avviandosi automaticamente appena il dispositivo veniva sbloccato.
💻 Titoli con codice e tentativi di attacco
I podcast incriminati presentano titoli insoliti, contenenti frammenti di codice, URL e persino tentativi di attacchi di tipo cross-site scripting (XSS).
🛡️ La replica dell’esperto Patrick Wardle
Patrick Wardle, noto ricercatore di sicurezza di Objective-See, ha confermato di aver riprodotto un comportamento simile, ma partendo da un sito web. Ha spiegato: «È sufficiente visitare una pagina per far aprire automaticamente l’app Podcasts e caricare un contenuto scelto dall’attaccante. Diversamente da altre aperture esterne su macOS, non viene richiesto alcun consenso o conferma all’utente».
🌐 Un caso preoccupante di XSS
Wardle ha segnalato un podcast che conteneva un link verso un sito con un chiaro tentativo di XSS: una tecnica che consente agli aggressori di iniettare codice malevolo in siti apparentemente legittimi. Una volta visitata la pagina, compariva un pop-up che confermava l’attacco.
⚠️ Un vettore di attacco potenziale
Wardle ha sottolineato che, pur non essendo immediatamente pericoloso, questo comportamento rappresenta un canale di distribuzione efficace qualora esistano vulnerabilità nell’app. «Il livello di test dimostra che gli avversari stanno valutando seriamente Apple Podcasts come possibile bersaglio», ha dichiarato.
📅 Il precedente di Google Calendar
La vicenda ricorda quanto accaduto anni fa con Google Calendar, quando malintenzionati riuscivano ad aggiungere eventi indesiderati con link o contenuti promozionali direttamente nei calendari degli utenti.
🍏 Silenzio da parte di Apple
Nonostante le ripetute sollecitazioni di Cox, Apple ha scelto di non rilasciare alcun commento ufficiale. Un’assenza di risposta che pesa, soprattutto di fronte a segnalazioni così delicate: il silenzio dell’azienda non fa che alimentare dubbi e preoccupazioni, lasciando gli utenti senza chiarimenti su un comportamento che potrebbe trasformarsi in un serio rischio di sicurezza.
