近日,有大量用户报告称苹果播客(Apple Podcasts)出现异常行为,应用会在无任何用户操作的情况下自行启动,并跳转至未订阅的陌生节目。据科技媒体 404Media 在11月27日发布的调查内容显示,这一现象并非偶然故障,而可能涉及安全层面的问题。
受影响的用户设备会突然打开播客应用,自动播放一些标榜为“灵性或教育”类别的节目。进一步分析发现,这些节目的标题中常含有如“5../XEWE2′”之类的乱码字符,实为黑客利用“跨站脚本攻击”(XSS)植入的恶意代码载体。
报道指出,攻击者通过将恶意脚本嵌入播客元数据中,触发应用在未授权的情况下执行指令。虽然目前该漏洞尚未被用于大规模数据窃取,主要影响为干扰用户体验,但已暴露出苹果播客在内容审核与代码过滤机制上的明显缺陷。
安全研究人员帕特里克・沃德尔(Patrick Wardle),即 macOS 安全公司 Objective-See 的创始人,已成功复现该问题。他强调,问题的关键在于苹果系统允许外部链接无需用户确认即可直接唤醒播客应用,实现“零点击”激活。
相比之下,其他主流应用如 Zoom 在被外部调用时均会弹出权限提示框以征求用户同意。而此次漏洞使得攻击者仅需诱使用户访问一个嵌有特定脚本的网页,便可在后台静默控制播客应用的运行。若此机制未来被结合更深层次的系统漏洞利用,潜在风险极高。
以上就是用户反馈苹果播客存在自动跳转 BUG:可强制唤醒、播放陌生节目的详细内容,更多请关注php中文网其它相关文章!
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
959
