Pēdējo nedēļu laikā Apple Podcasts ir bijis uzmanības centrā dīvaina uzvedība ka vairāki lietotāji un kiberdrošības speciālisti ir sākuši dokumentēt. Tas, kas šķita vienkārša kaitinoša kļūda Apple audio lietotnē, ir radījis jautājumus par iespējamiem drošības riskiem, jo īpaši Spānijā un pārējā Eiropā tik plaši izplatītajā iPhone un Mac ekosistēmā.
Saskaņā ar dažādiem tehniskajiem ziņojumiem, lietojumprogramma ne tikai atveras pati par sevi dažās ierīcēs, bet ielādēt nezināmus aplādes lietotājam, daudzos gadījumos saistībā ar tādām kategorijām kā reliģija, garīgums vai izglītība, un pat ar nosaukumiem, kas izskatās kā koda fragmenti. Plašs uzbrukums nav atklāts, taču šis modelis ir pietiekami reti sastopams, lai specializēti pētnieki aicinātu ievērot piesardzību un skaidru atbildi no Apple.
Lietotne, kas tiek atvērta pati par sevi un atskaņo aplādes, kurām nekad neesat sekojis
Tas, kas tiek novērots dažādās valstīs, arī Eiropas Savienībā, ir Apple Podcasts var sākt bez iejaukšanās. Daži skartie cilvēki apgalvo, ka lietotne tiek aktivizēta, atbloķējot iPhone vai Mac, savukārt citi ir redzējuši, ka tā tiek palaista pēc noteiktu tīmekļa lapu apmeklēšanas, lai gan nav noklikšķinājis uz nevienas pogas vai saites, kas saistīta ar aplādes apraidi.
Šādos gadījumos lietojumprogrammā tiek parādītas lietotāja pārraides epizodes nav abonēts viņš arī neatceras, ka būtu dzirdējis. Tie bieži ietilpst reliģijas, garīguma vai izglītības kategorijās, un dažreiz tās ir klusas nodaļas citās valodās vai ar tik dīvainiem nosaukumiem, ka šķiet, ka tie ir tieši paredzēti sistēmas pārbaudei, nevis īstu klausītāju piesaistīšanai.
Drošības eksperti, kas ir analizējuši šo uzvedību, norāda, ka tas ir kaut kas neparasts oficiālajās Apple lietotnēs, kuras parasti tiek stingri kontrolētas atļauju un fona darbības ziņā. Kad programma pašā sistēmā atveras bez lietotāja iejaukšanās un ielādē ārēji izvēlētu saturu, tā automātiski iedarbina trauksmes signālus, pat ja veiksmīgs uzbrukums vēl nav apstiprināts.
Šī parādība nav pilnīgi jauna. Pētnieki ir izsekojuši aizdomīgas epizodes datēts ar vismaz 2019. gadu, ar sporādiski klusa satura reprodukcijām vai neparedzētās valodās. Līdz šim tas vairāk tika interpretēts kā traucēklis vai surogātpasta veids, taču jaunākie pierādījumi liecina, ka tas varētu būt pamats kaut kam nopietnākam, ja to apvieno ar citām ievainojamībām.
Dīvainas saites un XSS uzbrukuma rēgs Apple Podcasts
Kiberdrošības kopienu visvairāk satrauc tas, ka vismaz vienā no šīm Podcast epizodēm ir atklāta potenciāli ļaunprātīga saite iegults epizodes aprakstā. Programmas nosaukumā bija iekļauta šķietami nejauša rakstzīmju virkne, kas līdzīga koda fragmentiem, un tā tika novirzīta uz vietni, kas mēģināja veikt starpvietņu skriptu uzbrukumu, kas labāk pazīstams kā XSS. Šāda veida incidenti atgādina problēmas, kuras Apple iepriekš ir novērsis operētājsistēmā iOS, izmantojot ielāpus.
XSS uzbrukums notiek, kad uzbrucējs ievadiet savu kodu lapā, kas no pirmā acu uzmetiena šķiet likumīga, tāpēc kods tiek izpildīts upura pārlūkprogrammā. Šis paņēmiens bija ļoti populārs pirms gadiem un izraisīja vēsturiskus incidentus sociālajos tīklos, piemēram, slaveno MySpace tārpu. Mūsdienās tā joprojām ir viena no klasiskajām ievainojamībām, kas tiek meklēta un labota lietojumprogrammās un tiešsaistes pakalpojumos.
Šajā gadījumā traucē ne tikai saites klātbūtne, bet arī kanāls, pa kuru tā nonāk: a epizode, kas atveras pati. Lai gan pagaidām nekas neliecina, ka šim XSS mēģinājumam būtu izdevies kompromitēt ierīces, tas paver iespējas sarežģītākiem uzbrucējiem izmēģināt kombinācijas ar citiem trūkumiem gan lietotnē, gan operētājsistēmā vai pārlūkprogrammā.
Profesionāļi, ar kuriem konsultējās, uzstāj, ka šobrīd nav dokumentēti tieši bojājumi lietotājiem par šo īpašo Apple Podcast uzvedību. Tas ir, tikai tāpēc, ka jūsu iPhone vai Mac datorā tiek atskaņota dīvaina epizode, tas pats par sevi nenozīmē, ka ierīce ir uzlauzta. Tomēr tehniskā plūsma, kas ļauj veikt šo reproducēšanu bez jūsu atļaujas, var kļūt par izmantojamu uzbrukuma vektoru.
Galvenais ir tas, ka šo maršrutu varētu izmantot piegādāt sagatavotas saites vai saturs, kas īpaši sagatavots, lai izmantotu turpmākās nepilnības. Proti, lai gan šodien tas šķiet tikai biedēšana, rīt tas varētu būt trūkstošais gabals, lai savienotu vairākas ievainojamības un veiktu reālu uzbrukumu, kas datordrošības jomā nekad nav viegli izslēgts.
Problēmas izcelsme: saites, kas atver Apple Podcasts, neprasot
Analīzes liecina, ka anomālo uzvedību atbalsta sistēmas likumīga funkcija: atveriet lietotni Podcasts no saites. Tāpat kā citas saites, kas tieši palaiž lietotni (piemēram, atverot Maps vai App Store no vietnes), Apple Podcasts var palaist automātiski, kad tiek atrasti noteikta veida URL.
Pretrunīgs jautājums ir tāds, ka, kā ir parādījis pētnieks Patriks Vordls, apmeklējiet sagatavotu tīmekļa lapu Pietiek, lai atvērtos Apple Podcasts un ielādētu uzbrucēja izvēlētā programma. Turklāt operētājsistēmā macOS tas notiek, sistēmai nelūdzot lietotājam apstiprinājumu, atšķirībā no tā, kas notiek ar citām ārējām lietojumprogrammām, piemēram, Zoom, kas parāda dialoglodziņu, kurā tiek pieprasīta atļauja.
Šī atšķirīgā attieksme nozīmē, ka praksē vietne var piespiest atvērt aplādes un atskaņot epizodi, radot sajūtu “mans Mac dara lietas pats par sevi”, ko apraksta tik daudzi lietotāji. Pat ja saturs pats par sevi neveic neko bīstamu, vienkāršais fakts, ka lietotne tiek atvērta bez cilvēka iejaukšanās, no drošības viedokļa tiek uzskatīta par riskantu rīcību.
Apple ekosistēmā, kas plaši izplatīta Spānijā un pārējā Eiropā, šāda veida kļūmei ir plaša iespējamā ietekme. Uzņēmums gadiem ilgi ir iestrādājis sistēmas līmeņa aizsardzības līdzekļus, piemēram, surogātpasta filtrus pakalpojumā iMessage vai noteikumus pret aizdomīgiem ielūgumiem kalendārā, uzbrucēji turpina meklēt jaunas durvis iekļūšana pakalpojumos, kas pēc noklusējuma tiek uzskatīti par drošiem.
Faktiski Podcasts gadījums atgādina citas nesenas epizodes, kurās Apple platformās ir redzētas surogātpasta vai ļaunprātīgas izmantošanas kampaņas, piemēram, masveida ielūgumu atdzimšana kalendārā vai nevēlamu ziņojumu sūtīšana pakalpojumā iMessage. Katrs jauns mijiedarbības vektors ar lietotāju tā kļūst par iespēju ļaunprātīgiem aktieriem, un šeit šķiet, ka viņi ir atraduši citu.
Vai tas šobrīd rada reālus draudus lietotājiem Spānijā un Eiropā?
Galvenais jautājums ikvienam, kurš ikdienā lieto iPhone vai Mac datoru, ir, vai viņiem vajadzētu nopietni uztraukties par šo problēmu. Speciālisti, kas izmeklējuši lietu, ir vienisprātis, ka tūlītējs risks ir zems. Nav pierādījumu, ka dati tiek zagti, tiek instalēta ļaunprātīga programmatūra vai ierīces tiek attālināti kontrolētas, pamatojoties tikai uz šo Apple Podcasts darbību.
Tas, kas pastāv, ir a potenciālais risks vidējā termiņā. Ja kāds atklāj papildu ievainojamību lietotnē vai pašā operētājsistēmā, viņš to var apvienot ar šo iespēju bez piekrišanas atvērt aplādes no tīmekļa un pēc tam veikt pilnīgāku uzbrukumu. Tāpēc šī problēma ir piesaistījusi tik lielu uzmanību specializētajos plašsaziņas līdzekļos un MacOS drošības pētnieku vidū.
Eiropā, kur tiesiskais regulējums ir īpaši stingrs Runājot par privātumu un datu aizsardzību, šādas situācijas arī rada regulatīvu spiedienu uz lielajiem tehnoloģiju uzņēmumiem. Lai gan mēs runājam par kļūmi, kas ir tuvāk surogātpastam nekā nopietnam pārkāpumam, fakts, ka sistēmas lietotni var izmantot dīvainu saišu izplatīšanai bez skaidras uzraudzības, ne pārāk labi saskan ar parasto drošības un kontroles diskursu, ko uztur Apple.
Jāņem vērā arī tas, ka šī uzvedība ietekmē iOS un macOStas ir, iPhone, iPad un Mac datoriem. Lielākā daļa Eiropas lietotāju apvieno vairākas ierīces zīmola ekosistēmā, kas palielina iespēju, ka šīs negaidītās atskaņošanas epizodes var atkārtoties dažādos datoros.
Lai gan nav oficiāla atjauninājuma vai detalizēta skaidrojuma, eksperti iesaka neatslābsti, bet arī nekrīti panikā. Mums ir darīšana ar iespējamu uzbrukuma vektoru, nevis pilnībā izstrādātu izmantošanu, kas masveidā apdraud lietotāju datus.
Praktiski ieteikumi: ko jūs varat darīt, ja izmantojat Apple Podcasts
Ja esat saskāries ar Apple Podcast apraides atvēršanu atsevišķi vai ar retām epizodēm savā bibliotēkā, varat veikt vairākas vienkāršas darbības, lai samazinātu riskus. Pirmais un acīmredzamākais ir Neklikšķiniet uz saitēm, kuras neatpazīstat pašā lietojumprogrammā, īpaši tiem, kuriem ir dīvaini nosaukumi vai kas izskatās pēc koda.
Ir svarīgi arī vienmēr atjaunināt gan operētājsistēmu, gan lietotnes. iOS, iPadOS un macOS atjaunināšana uz jaunāko stabilo versiju ievērojami samazina iespēju, ka uzbrucējs var apvienot šāda veida ziņkārīgo uzvedību ar citām ievainojamībām, kas jau ir zināmas un izlabotas jaunākajos ielāpus.
Tiem, kuri reti izmanto Apple Podcast apraides vai bieži neklausās aplādes, vēl vienkāršāka iespēja ir īslaicīgi atinstalēt lietotni, kamēr Apple izmeklē un novērš problēmu. Mūsdienu ierīcēs sistēmas lietotnes var noņemt un atkārtoti instalēt no App Store bez papildu sarežģījumiem, tādējādi nezaudējot ilgtermiņa funkcionalitāti.
Ja vēlaties turpināt klausīties iecienītākās programmas, neatkarīgi no aplādes, varat izmantot Spotify vai YouTubekur ir pieejama arī liela daļa parastā satura. Tas nav galīgs vai vajadzīgs risinājums ikvienam, taču tas var būt labs risinājums tiem, kas dod priekšroku saglabāt veselību, līdz tiek iegūta lielāka skaidrība.
Visbeidzot, ir vērts pievērst uzmanību neparastai uzvedībai Apple lietotnēs kopumā: negaidītām atvēršanām, dīvainiem paziņojumiem, abonementiem, kurus neatceraties, ka tie būtu aktivizējušies, utt. Lielākā daļa no šīm pazīmēm parasti ir tikai kairinājumi vai surogātpasta mēģinājumi, taču modras attieksmes saglabāšana palīdz laikus atklāt visus nopietnākus incidentus.
Tā kā no Apple nav saņemta oficiāla atbilde, Apple Podcasts lieta ir kļuvusi par vēl vienu piemēru vairāk izveidotas lietojumprogrammas var parādīt negaidītu uzvedību kas, neliecinot par katastrofu, attaisno zināmu piesardzību. Starp epizodēm, kas tiek atvērtas pašas, saitēm ar XSS mēģinājumiem un iespēju palaist lietotni no tīmekļa, neprasot atļauju, vispārēja sajūta ir tāda, ka ir vietas uzlabojumiem un ka uzņēmumam būs jārīkojas, lai aizvērtu šo iespējamo caurumu, pirms kāds to patiešām izmantos.
