به گزارش شهرآرانیوز، پس از مهاجرت از اندروید به آیفون و از ویندوز به مک طی سالهای گذشته، همواره مشتاق بودهام هرگونه تهدید امنیتی بالقوه در اکوسیستم اپل را بررسی کنم. معمولاً این موضوع شامل حملاتی مانند «پیام کمککننده» علیه کاربران آیفون، یا جستوجوی آسیبپذیریهای iOS و گاهی هرچند نادر کشف یک در پشتی در macOS میشود. اما تاکنون هرگز مجبور نشده بودم درباره اپلیکیشن Apple Podcasts هشدار امنیتی منتشر کنم.
به گزارش مجله خبری فوربز، اتفاقی بسیار عجیب برای اپلیکیشن Apple Podcasts در حال رخ دادن است. این جملهای بود که جوزف کاکس، خبرنگار شناختهشده حوزه فناوری و امنیت سایبری، نوشت؛ جملهای که بلافاصله توجه مرا جلب کرد، بهویژه زمانی که توضیح داد این برنامه بهصورت خودکار روی iOS و macOS باز میشود و مهمتر از آن، در یکی از موارد صفحه پادکستی که باز شده بود، «حاوی لینکی به یک وبسایت بالقوه مخرب» بوده است. همین کافی بود تا تمام زنگ خطرهای ذهنم روشن شوند.
کاکس اعتراف کرد که نمیداند دقیقاً چه اتفاقی در جریان است، بنابراین با یک متخصص امنیت که معمولاً از عجیبترین رفتارهای اپلیکیشنها هم سر در میآورد تماس گرفت. پاتریک واردل، کارشناس برجسته امنیت macOS، تأیید کرد که برنامه میتواند بهطور خودکار با پادکستی که مهاجم انتخاب کرده، اجرا شود و برخلاف اجرای سایر برنامهها از بیرون در macOS، هیچ اعلان یا تأیید کاربری لازم نیست.
این موضوع به خودی خود نگرانکننده است، اما به معنای اجرای یک حمله توسط خود اپلیکیشن نیست. با این حال، این رفتار میتواند برای هکرها یک مکانیزم تحویل بسیار مؤثر باشد، اگر و البته یک اگر بزرگ آسیبپذیریای در اپلیکیشن Podcasts وجود داشته باشد.
البته هیچ نشانهای از وجود چنین آسیبپذیریای گزارش نشده و اپل نیز تاکنون به درخواست من برای اظهار نظر در تعطیلات آخر هفته پاسخ نداده است. اما این مسئله باعث نمیشود موضوع کماهمیت باشد! کاملاً برعکس. همانطور که اشاره شده است، پادکستی که بهطور خودکار باز شود و بخواهد کاربر را به سایتی هدایت کند که اقدام به اجرای حمله XSS (اسکریپتنویسی میانسایتی) میکند که قطعاً یک اتفاق امنیتی مهم است. این لینک در بخش وبسایت برنامهٔ پادکست قرار داشته و باعث هدایت کاربر به محتوای مخرب میشده است.