Un comportement étrange observé dans l’app Podcasts d’Apple inquiète aujourd’hui plusieurs chercheurs en sécurité. Selon une enquête de Joseph Cox (404Media), l’application afficherait parfois du contenu sans aucune action de l’utilisateur, laissant craindre un nouveau vecteur potentiel pour des attaques ciblées.
Des podcasts qui s’ouvrent seuls !
Depuis plusieurs mois, le chercheur rapporte des comportements assez surprenants : l’app Podcasts se lance automatiquement, des émissions apparaissent sans qu’il ne les ait jamais consultées. Mais surtout les épisodes affichent parfois des titres contenant des fragments de code, des URL ou même des tentatives d’injection (XSS).
Le phénomène toucherait iOS comme macOS, et l’ouverture de ces podcasts peut même intervenir dès le déverrouillage de l’appareil, sans clic, sans notification, sans demande de permission.
Une ouverture d’app via un simple site web, sans autorisation
Patrick Wardle un autre chercheur en sécurité (Objective-See) dit avoir pu reproduire un comportement similaire, mais essentiellement depuis un site web : Il suffit de visiter une page web pour déclencher l’ouverture d’Apple Podcasts et charger un contenu choisi par l’attaquant. Et contrairement aux autres lancements externes sur macOS, aucune autorisation n’est demandée.
Globalement, un site malveillant pourrait, théoriquement, forcer le lancement de Podcasts. Il contournerait un principe de sécurité pourtant strict sur macOS (où Safari demande généralement une validation lorsqu’un site tente d’ouvrir une application tierce).
Un vecteur d’attaque en devenir ?
Pour le moment, aucune exploitation directe n’a été détectée et Apple reste silencieuse. Mais plusieurs indices montrent que des acteurs malveillants pourraient être en train d'évaluer... le terrain. Ces tentatives rappellent la vague de spam sur Google Calendar il y a quelques années, lorsque des comptes malveillants ajoutaient automatiquement des événements frauduleux dans les agendas des utilisateurs.
L’ampleur du phénomène reste encore difficile à déterminer. Entre véritables expériences malveillantes ou simples tests de sécurité automatisés, l’affaire montre surtout que même des applications perçues comme inoffensives peuvent devenir un vecteur potentiel d’attaques, si les bonnes protections ne sont pas en place.
L’époque où les Mac semblaient intouchables face aux virus, ransomwares et autres logiciels malveillants est révolue. Aujourd’hui, équiper son Mac d’un antivirus est devenu essentiel, mais le choix peut vite se compliquer entre les nombreuses options proposées : solutions gratuites ou payantes, contrôle parental, pare-feu… Mac4Ever vous aide à y voir plus clair pour sélectionner la protection la mieux adaptée.
Un véritable système domestique d’alimentation plug-and-play qui intègre la production d’énergie photovoltaïque ainsi que la charge et la décharge bidirectionnelles.
