La aplicación Podcasts de Apple, tanto en iOS como en Mac, ha mostrado un comportamiento extraño durante meses. Se abre espontáneamente y muestra podcasts sobre religión, espiritualidad y educación que los usuarios nunca han suscrito. Al menos uno de estos podcasts contiene un enlace que intenta un ataque de cross-site scripting (XSS), según informa 404 Media.
Joseph Cox, periodista de 404 Media, documentó el problema tras encontrar repetidamente que su Mac abría la aplicación Podcasts por sí sola, presentando podcasts extraños con títulos que contenían código confuso, URLs externos a Spotify y Google Play, y en un caso, lo que parece ser código de ataque XSS incrustado directamente en el título del podcast.
Patrick Wardle, experto en seguridad de macOS y creador de Objective-See, confirmó que podía replicar un comportamiento similar: simplemente visitar un sitio web puede activar la aplicación Podcasts para que se abra y cargue un podcast elegido por el atacante sin ningún aviso o aprobación del usuario. Wardle dijo que esto crea "un mecanismo de entrega muy eficaz" si existe una vulnerabilidad en la aplicación Podcasts, y el nivel de sondeo sugiere que los adversarios la están evaluando activamente como un objetivo potencial. El podcast que intenta el ataque XSS data de alrededor de 2019. Una reseña reciente en la aplicación preguntó "¿Cómo permite Apple este intento de ataque XSS?". Apple no respondió a las múltiples solicitudes de comentarios por parte de 404 Media.
Artículos relacionados de LaRebelión:
- Artesania Mexicana Viva Celebrando la Cultura con Google
- Seguridad Contenedores Detecta Riesgos y Parchea con Exito
- Westinghouse Energia Nuclear Reinventada con IA y Google
- WeatherNext 2 Prediccion Climatica Avanzada con IA
- AI Podcasts 3000 Weekly Episodes is it good
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario