Ak sa váš iPhone alebo Mac začal správať ako posadnutý – konkrétne, ak sa aplikácia Apple Podcasts stále otvára sama a prehráva náhodné relácie, o ktorých ste nikdy nepočuli – nie ste blázon.
Používatelia to hlásia už mesiace. Jednu minútu je ich zariadenie nečinné a na druhú sa spustí aplikácia Podcasty a načíta bizarné, nejasné relácie. Toto nie sú hity v top rebríčku; často sú to náhodné náboženské kázne, prázdne zvukové súbory alebo relácie s názvami plnými nezmyselného kódu.
Duchové podcasty a automatické spúšťanie
Výskumník v oblasti bezpečnosti Patrick Wardle sa do toho pustil a zistil niečo znepokojujúce: webová stránka môže prinútiť vašu aplikáciu Podcasty, aby otvorila a načítala akúkoľvek reláciu, ktorú chce vlastník stránky, a to všetko bez toho, aby vás požiadal o povolenie. Na počítačoch Mac sa väčšina aplikácií pýta pred spustením z webového odkazu (ako to robí Zoom), ale Podcasty túto bezpečnostnú kontrolu zjavne úplne preskočia.
Ešte útržkovejšie? Niektoré z týchto „duchovských“ podcastov obsahujú vo svojich popisoch odkazy, ktoré sa pokúšajú spustiť škodlivý kód (nazývaný útok XSS) alebo vás presmerujú na podvodné webové stránky.
Prečo na tom záleží: bezpečnostné slepé uhly
Strašidelnou časťou v skutočnosti nie sú samotné divné podcasty; takto sa tam dostávajú.
Skutočnosť, že cudzinec môže na diaľku spustiť aplikáciu na vašom telefóne alebo notebooku, aby otvorila a načítala konkrétny obsah bez toho, aby ste sa čohokoľvek dotkli, je hlavným bezpečnostným varovným signálom. Wardle poznamenáva, že toto ešte nie je plnohodnotný „hack“ vášho zariadenia, ale sú to dokorán otvorené dvere, ktoré by tam nemali byť. V podstate premení aplikáciu Podcasts na systém doručovania podvodov alebo škodlivého softvéru.
Predstavte si to ako starý problém so spamom v Kalendári Google, kde sa vo vašom pláne objavovali náhodné udalosti s nejasnými odkazmi. Ide o rovnaký koncept, ale deje sa to v aplikácii, ktorej pravdepodobne implicitne dôverujete. Ak útočníci nájdu hlbšiu trhlinu v kóde aplikácie, môžu použiť tento trik s automatickým spustením na vážne poškodenie.
Čo ďalej: Opraví to Apple?
Tu je frustrujúca časť: Apple nepovedal ani slovo. Napriek tomu, že sa to dialo celé mesiace a výskumníci zvonili na poplach, zatiaľ nebolo zverejnené žiadne verejné uznanie a žiadna oprava.
Bezpečnostní experti si myslia, že zlí herci v súčasnosti „sondujú“ systém – v podstate testujú ploty, aby zistili, čo im prejde. Kým Apple túto medzeru nezalepí, buďte skeptickí. Ak sa vaša aplikácia Podcasty otvorí bez pozvania, nebuďte zvedaví. Okamžite ho zatvorte a rozhodne neklikajte na žiadne odkazy v tých podivných poznámkach k šou.
