Secondo recenti scoperte di Joseph Cox di 404 Media. Questa vulnerabilità consente il lancio di app non richieste e potenzialmente ulteriori compromissioni del sistema. Per diversi mesi, le applicazioni Apple Podcast sia su iPhone che su Mac hanno mostrato comportamenti insoliti. Podcast, prevalentemente di natura religiosa, lanciati automaticamente senza richiesta o iscrizione da parte dell’utente. I metadati associati a questi podcast non richiesti contenevano elementi sospetti, inclusi indirizzi e-mail personali, frasi multilingue legate alla fede e sequenze di codici riguardanti. Patrick Wardle, esperto di sicurezza macOS e fondatore di Objective-See, ha dichiarato: “Il comportamento più preoccupante è che l’app può essere avviata automaticamente con un podcast scelto dall’aggressore. Ho replicato un comportamento simile, anche se tramite un sito Web: la semplice visita di un sito Web è sufficiente per attivare l’apertura dei podcast (e caricare un podcast scelto dall’aggressore) e, a differenza di altri lanci di app esterne su macOS (ad esempio Zoom), non è richiesta alcuna richiesta o approvazione da parte dell’utente.” Questa funzionalità di lancio automatizzato solleva preoccupazioni riguardo al potenziale accesso non autorizzato alle periferiche del dispositivo. Se un’applicazione come Zoom, che controlla le funzioni della fotocamera, potesse essere attivata in modo simile senza l’intervento dell’utente, ciò suggerirebbe un percorso attraverso il quale podcast dannosi potrebbero attivare inconsapevolmente webcam o microfoni. Gli utenti possono prendere in considerazione applicazioni podcast alternative, come Pocket Casts, per mitigare questo rischio.
