Si vous avez remarqué qu’Apple Podcasts s’ouvrait aléatoirement sur une émission à laquelle vous n’êtes pas abonné, vous n’êtes pas le seul. Voici ce qu’il se passe.
AUCUN DANGER IMMÉDIAT, MAIS UN PROBLÈME À SURVEILLER
Un nouveau rapport de 404 Media décrit une situation troublante où l’application Apple Podcasts s’ouvre sans aucune intervention de l’utilisateur, généralement sur un podcast classé dans les catégories « religion, spiritualité et éducation ».
Pour aggraver les choses, au moins un podcast a partagé un lien potentiellement malveillant, risquant de déclencher une méthode de piratage connue sous le nom de cross-site scripting, ou XSS.
Selon 404 Media, bien que ce problème soit agaçant, il ne représente pas un risque immédiat pour les utilisateurs. Cependant, il pourrait ouvrir la voie à des problèmes plus sérieux si une vulnérabilité de l’application venait à être découverte.
“Cela dit, quelqu’un a essayé de livrer quelque chose d’un peu plus malveillant via l’application Podcasts. Il s’agit du premier podcast mentionné, intitulé « 5../XEWE2’”"″onclic…”. Peut-être que certains lecteurs s’en sont déjà rendu compte, mais le podcast cherche à rediriger les auditeurs vers un site qui tente d’effectuer une attaque XSS. XSS consiste en fait à injecter un code malveillant sur un site autrement légitime.”
404 Media note également que certains shows qui s’ouvrent automatiquement sur Apple Podcasts existent depuis au moins 2019, avec des épisodes occasionnels totalement silencieux ou dans des langues autres que l’anglais.
Comme le rappellent les lecteurs, ce n’est pas la première fois qu’un service ou une plateforme d’Apple rencontre ce genre de problème. Il y a quelques mois, on a assisté à une résurgence de spams liés aux cryptomonnaies sur Apple Calendar, et iMessage a également connu des soucis de spam par le passé.
Au fil des ans, Apple a mis en place plusieurs paramètres utilisateurs et filtres au niveau système pour tenter de réduire ce type de spam. Malheureusement, les acteurs malveillants semblent de plus en plus créatifs pour contourner les protections d’Apple.
Dans le cas d’Apple Podcasts, le problème semble provenir de la possibilité de lancer automatiquement l’application à partir d’un lien, sans que l’utilisateur ait besoin de cliquer.
“Le comportement le plus préoccupant est que l’application peut être lancée automatiquement avec un podcast de choix de l’attaquant”, a déclaré Patrick Wardle, expert en sécurité macOS et créateur de l’organisation de cybersécurité Objective-See. “J’ai reproduit un comportement similaire, bien que via un site Web : il suffit de visiter un site pour déclencher Podcasts et charger un podcast de l’attaquant, sans qu’aucun prompt ou approbation de l’utilisateur ne soit requis.”
404 Media a tenté de contacter Apple à plusieurs reprises concernant ce problème, mais l’entreprise n’a pas répondu.
Avez-vous déjà rencontré ce problème ? Faites-le nous savoir dans les commentaires.
