北京
每天分享科技熱點!
網絡安全網站404 Media研究員Joseph Cox近日發文稱, Apple Podcasts應用在iPhone與Mac上出現了異常行為,應用會在用戶沒有主動操作的情況下自動打開并加載特定的播客頁面,且部分播客在“顯示網站”字段中嵌入了可疑跳轉鏈接,訪問后會重定向到如test[.]ddv[.]in[.]ua等域名并出現標注“XSS”的彈窗,研究者認為這可能是探測或投遞跨站腳本類攻擊的一種嘗試,但目前并無確鑿證據顯示已有設備被成功入侵或大規模利用。
多位安全專家對該現象進行了復核,macOS安全專家、Objective-See創始人Patrick Wardle稱,最令人擔憂的是攻擊者似乎能夠在用戶毫無操作的情況下觸發Podcasts自動啟動并加載指定內容。他在復現測試中發現,僅需訪問一個經過特殊構造的網頁,即可讓系統直接喚起Podcasts并打開攻擊者預設的播客頁面,全程無需提示或授權,這與macOS在打開其他外部應用(如Zoom)時通常要求用戶確認的安全機制并不一致,顯示出潛在的濫用空間,這種“可信平臺”上的異常行為若被利用,可能繞過用戶對來自未知網站的防范。
相關用戶評論也顯示有用戶注意到了這些不尋常的細節,有使用者在應用內留下一星并稱“Scam”(欺詐),表明普通用戶也注意到異常跳轉與可疑彈窗。
目前,網絡專家建議用戶不要點擊播客頁面中不明的“網站”鏈接,檢查并移除來源不明的訂閱,同時保持系統與應用更新,以降低潛在風險,研究者則建議將可疑條目上報蘋果以便進一步調查與封堵。
截至發稿,蘋果方面尚未就此事發布正式聲明或修補通告。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
