Joseph Cox, de 404Media, informa que investigadores de seguridad han detectado actividad sospechosa en la app Podcasts, que podría utilizarse para enviar contenido malicioso a sus usuarios.
Joseph Cox describe experiencias inusuales con Apple Podcasts, que indicaron que algo malicioso estaba ocurriendo en las versiones de la app para macOS e iOS.
Por ejemplo, un podcast tenía un enlace que redirige a los usuarios a un sitio que intenta un ataque XSS, una técnica en la que los atacantes inyectan código malicioso en sitios web aparentemente legítimos. Al visitarlos, se muestra una ventana emergente que confirma el intento de XSS.
Apple no ha reconocido ni respondido a las múltiples solicitudes de Cox sobre el problema. Patrick Wardle, experto en seguridad de Objective-See, afirma que esto por sí solo no representa un peligro inmediato, ya que crea un mecanismo de entrega eficaz cuando existen vulnerabilidades en la app Apple Podcast, pero el nivel de sondeo muestra que los adversarios la están evaluando como un objetivo potencial.
El problema tiene algunas similitudes con el spam en Google Calendar de hace un par de años, donde los atacantes agregaron al calendario eventos no solicitados con enlaces a contenido promocional.
