近日,有大量用户报告称苹果播客(Apple Podcasts)出现异常行为,应用会在无任何用户操作的情况下自行启动,并跳转至未订阅的陌生节目。据科技媒体 404Media 在11月27日发布的调查内容显示,这一现象并非偶然故障,而可能涉及安全层面的问题。
受影响的用户设备会突然打开播客应用,自动播放一些标榜为“灵性或教育”类别的节目。进一步分析发现,这些节目的标题中常含有如“5../XEWE2′”之类的乱码字符,实为黑客利用“跨站脚本攻击”(XSS)植入的恶意代码载体。
报道指出,攻击者通过将恶意脚本嵌入播客元数据中,触发应用在未授权的情况下执行指令。虽然目前该漏洞尚未被用于大规模数据窃取,主要影响为干扰用户体验,但已暴露出苹果播客在内容审核与代码过滤机制上的明显缺陷。
HARPA AI
浏览器插件,ChatGPT自动化助手,将ChatGPT集成到谷歌搜索
下载
安全研究人员帕特里克・沃德尔(Patrick Wardle),即 macOS 安全公司 Objective-See 的创始人,已成功复现该问题。他强调,问题的关键在于苹果系统允许外部链接无需用户确认即可直接唤醒播客应用,实现“零点击”激活。
相比之下,其他主流应用如 Zoom 在被外部调用时均会弹出权限提示框以征求用户同意。而此次漏洞使得攻击者仅需诱使用户访问一个嵌有特定脚本的网页,便可在后台静默控制播客应用的运行。若此机制未来被结合更深层次的系统漏洞利用,潜在风险极高。
感谢您的来访,获取更多精彩文章请收藏本站。
© 版权声明
1、本内容转载于网络,版权归原作者所有!
2、本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
3、本内容若侵犯到你的版权利益,请联系我们,会尽快给予删除处理!
4、本站全资源仅供测试和学习,请勿用于非法操作,一切后果与本站无关。
5、如遇到充值付费环节课程或软件 请马上删除退出 涉及自身权益/利益 需要投资的一律不要相信,访客发现请向客服举报。
6、本教程仅供揭秘 请勿用于非法违规操作 否则和作者 官网 无关
THE END
