Si vous avez déjà observé qu’Apple Podcasts s’ouvrait de manière aléatoire sur un podcast auquel vous n’êtes pas abonné, vous n’êtes pas seul. Voici ce qui se passe.
Pas de danger immédiat, mais une situation à surveiller
Un nouveau rapport de 404 Media décrit une situation étrange dans laquelle l’application Apple Podcasts semble s’ouvrir sans intervention de l’utilisateur, généralement sur un podcast lié à la « religion, la spiritualité et l’éducation ».
Pour compliquer les choses, au moins un podcast a présenté un lien potentiellement malveillant, qui pourrait permettre une méthode d’attaque ancienne connue sous le nom de cross-site scripting, ou XSS.
404 Media souligne que bien que ce problème soit agaçant, il ne représente pas un risque immédiat pour les utilisateurs. Cependant, il ouvre la porte à un problème plus grave si une vulnérabilité dans l’application venait à être découverte et exploitée en conjonction avec ce comportement.
Des tentatives de hacking détectées
Selon le rapport, un podcast particulier, portant le titre « 5../XEWE2′”"″onclic… », essaie de diriger les auditeurs vers un site visant à réaliser une attaque XSS. Cette méthode consiste à injecter un code malveillant dans un site apparemment légitime. C’est un type d’attaque relativement facile à réaliser, surtout aujourd’hui, cet incident rappelle les fameuses vulnérabilités d’il y a dix ans.
Les épisodes qui s’ouvrent automatiquement sur Apple Podcasts existent depuis au moins 2019, certains étant totalement silencieux ou dans des langues autres que l’anglais.
Un problème récurrent pour les services d’Apple
Les lecteurs se souviendront sûrement que ce n’est pas la première fois qu’un service ou une plateforme d’Apple rencontre des problèmes similaires. Il y a quelques mois, une résurgence de spam lié aux cryptomonnaies a frappé Apple Calendar, tandis qu’iMessage a également fait face à des problèmes de spam par le passé.
Au fil des ans, Apple a mis en place plusieurs paramètres utilisateur et filtres au niveau système pour lutter contre ce type de spam, mais les acteurs malveillants semblent devenir de plus en plus créatifs pour contourner ces protections.
Une faille d’auto-lancement inquiétante
Dans le cas d’Apple Podcasts, le problème semble provenir de la capacité à ouvrir automatiquement l’application à partir d’un lien, sans nécessiter que l’utilisateur clique sur quoi que ce soit.
Patrick Wardle, un expert en sécurité macOS et créateur de l’organisation de cybersécurité Objective-See, a déclaré : « Le comportement le plus préoccupant est que l’application peut être lancée automatiquement avec un podcast choisi par un attaquant. J’ai reproduit un comportement similaire juste en visitant un site Web, suffisant pour déclencher l’ouverture de Podcasts et charger un podcast de l’attaquant, sans qu’aucun prompt ou approbation utilisateur ne soit requise. »
404 Media a tenté de contacter Apple à plusieurs reprises au sujet de ce problème, mais n’a reçu aucune réponse.
Ce comportement inhabituel a-t-il déjà été observé de votre côté ? Partagez vos expériences dans les commentaires.
