Apple Podcastsアプリがユーザーが登録していない番組を自動で開く現象が報告されました。これにより、クロスサイトスクリプティング(XSS)攻撃が可能になる可能性があるということです。404 Mediaの報告によれば、この問題は現時点でユーザーに直ちに危険を及ぼすものではないとしています。しかし、アプリに脆弱性が発見された場合、より深刻な問題に発展する可能性があるとしています。
報告によると、少なくとも1つのポッドキャストが潜在的に悪意のあるリンクを提示し、XSS攻撃を試みているということです。XSS攻撃とは、ハッカーが自身の悪意のあるコードを正規のウェブサイトに注入する手法で、過去にはMySpace wormの原因となったことでも知られています。
さらに、Apple Podcastsで自動で開かれる番組の中には2019年に遡るものもあり、内容が無音であったり、英語以外の言語である場合もあるということです。
Appleのサービスやプラットフォームがこのような問題に直面するのは初めてではありません。数ヶ月前にもApple Calendarで暗号通貨関連のスパムが再発し、iMessageでもスパム問題が発生していました。Appleはこれまでに複数のユーザー設定やシステムレベルのフィルターを導入してスパム対策を行ってきましたが、悪意のある行為者はこれらの保護を回避する方法を見つけ出しているようです。
Apple Podcastsの問題は、リンクからアプリを自動起動できる機能に起因しているとされています。macOSセキュリティの専門家であるパトリック・ウォードル氏は、ウェブサイトを訪れるだけでポッドキャストが開かれることがあると指摘しています。このような動作は、他のmacOSアプリの起動とは異なり、ユーザーの承認を必要としないということです。
404 Mediaはこの問題についてAppleに複数回問い合わせを試みましたが、回答は得られていないとしています。