江蘇
關鍵詞
bug
科技媒體 404Media(11 月 27 日)發布博文,報道稱蘋果播客(Apple Podcasts)曝出安全隱患,多名用戶反映該應用會自動打開并跳轉至未訂閱的陌生節目。
消息源指出不少蘋果用戶近期遭遇了令人困惑的體驗:手中的 Apple Podcasts 應用會在未經任何操作的情況下自動啟動,并直接跳轉至某些關于 " 靈性或教育 "(religion, spirituality, and education)類別的陌生節目。這并非單一的設備故障,而是一場波及范圍較廣的安全騷擾。
該媒體進一步分析發現,這些自動加載的播客節目并非普通的垃圾內容,其標題往往包含類似 "5../XEWE2 ′ " 的亂碼字符,這實際上是黑客試圖實施 " 跨站腳本攻擊 "(XSS)的手段。
博文介紹,攻擊者將惡意代碼注入播客標題或描述中,試圖誘導設備執行非預期的指令。盡管 404 Media 指出,目前的攻擊手段相對初級,主要造成用戶困擾,而非直接的數據竊取,但這無疑暴露了應用在代碼過濾層面的短板。
macOS 安全專家、Objective-See 創始人帕特里克沃德爾(Patrick Wardle)復現該漏洞。他指出,核心風險在于蘋果允許外部鏈接在 " 零點擊 " 且 " 無授權提示 " 的情況下直接喚醒播客應用。
與 Zoom 等應用在外部喚醒時會彈出 " 是否打開 " 的確認框不同,攻擊者只需誘導用戶訪問植入了特定腳本的網頁,即可在后臺強制控制播客應用的啟動與加載。這種機制若與更嚴重的系統漏洞結合,后果將不堪設想。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
