Negli ultimi mesi alcuni esperti di sicurezza hanno rilevato comportamenti inattesi all’interno di Apple Podcasts su iOS e macOS, sollevando dubbi sul modo in cui l’app gestisce l’apertura di contenuti provenienti dall’esterno. Le segnalazioni arrivano da ricercatori che hanno osservato l’avvio improvviso dell’app senza alcuna interazione e la comparsa di podcast mai selezionati. In diversi casi, l’apertura sarebbe avvenuta esattamente nel momento in cui il dispositivo veniva sbloccato, mostrando episodi legati a religione, spiritualità ed educazione, accompagnati da titoli insoliti che includono frammenti di codice, URL e elementi riconducibili a tentativi di attacco cross-site scripting.
Le verifiche dei ricercatori e il comportamento replicato
A documentare la questione è stato Joseph Cox di 404Media, che ha raccolto testimonianze e riprodotto alcuni scenari con il supporto di Patrick Wardle, esperto di sicurezza di Objective-See. Wardle ha dichiarato di essere riuscito a ottenere un comportamento simile semplicemente visitando una pagina web: il sito avrebbe forzato l’apertura di Apple Podcasts e il caricamento di un contenuto scelto dall’attaccante, senza alcun prompt da parte del sistema. Per macOS si tratta di un’eccezione rilevante, poiché normalmente l’apertura di app di terze parti da fonti esterne richiede una conferma specifica.
Wardle, durante le analisi, ha individuato anche un podcast contenente un link verso un sito progettato per generare un pop-up che dichiarava esplicitamente un tentativo di XSS, mostrando come alcuni attori stessero testando la superficie di attacco dell’app. L’esperto precisa che il comportamento osservato non rappresenta di per sé una minaccia diretta, ma potrebbe trasformarsi in un vettore significativo qualora emergessero vulnerabilità reali nelle funzioni interne di Apple Podcasts.
Un modello che ricorda vecchi abusi di servizi affidabili
Il caso evidenzia una logica già vista in passato in altri ecosistemi. Cox richiama l’esempio di Google Calendar, quando alcuni attori sfruttavano meccanismi di aggiunta automatica degli eventi per inserire appuntamenti non richiesti contenenti link indesiderati. Nel caso di Apple Podcasts lo schema non è identico, ma la dinamica ricorda l’idea di utilizzare un canale percepito come affidabile per introdurre contenuti inattesi e aggirare i controlli.
Al momento della pubblicazione del report, Apple non ha fornito commenti o chiarimenti sul comportamento segnalato.