AppleのPodcastアプリに不審な挙動、悪意あるコンテンツ配信の懸念浮上

セキュリティ研究者らによると、AppleのPodcastアプリに不審な活動が確認されており、悪意のあるコンテンツをユーザーに配信するために悪用される可能性があると指摘されています。これは、404Mediaのジョセフ・コックス氏によるレポートで明らかになりました。

コックス氏のレポートでは、iOSおよびmacOS版のPodcastアプリで奇妙な体験をしたことが記されています。同氏によると、ここ数ヶ月の間、アプリが自動的に起動し、意図しないポッドキャストが勝手に表示される現象が複数回発生。MacとiPhoneの両方で、宗教、スピリチュアリティ、教育関連のポッドキャストが理由もなく開かれ、時にはデバイスのロックを解除した瞬間にアプリが起動することもあったといいます。

問題のポッドキャストの多くは、コード断片、URL、あるいはクロスサイトスクリプティング（XSS）攻撃の試みと見られる文字列を含む、奇妙なタイトルが付けられていました。

Objective-Seeのセキュリティ専門家、パトリック・ウォードル氏もコックス氏に対し、ウェブサイトを介して同様の挙動を再現できたと述べています。「ウェブサイトを訪れるだけでPodcastアプリが開き、（攻撃者が選んだ）ポッドキャストが読み込まれる。しかも、macOSでの他の外部アプリ起動とは異なり、何のプロンプトもユーザー承認も不要だ」とウォードル氏は説明しています。

特に懸念されるのは、XSS攻撃を試みるサイトへリダイレクトするリンクを含むポッドキャストも確認されている点です。このリンク先にアクセスすると、XSS試行を知らせるポップアップが表示されるとのことです。

ウォードル氏はこの挙動自体が直ちに危険というわけではないとしながらも、Podcastアプリ内に脆弱性が存在する場合、非常に効果的なコンテンツ配信メカニズムとなる可能性を指摘。「調査のレベルから、攻撃者がPodcastアプリを潜在的な標的として積極的に評価していることがわかる」と警鐘を鳴らしました。

この状況は、数年前に話題となったGoogleカレンダーのスパム（一方的にイベントが追加され、悪意あるリンクが含まれる）に類似しているとも報じられています。

なお、Appleはコックス氏からの複数回にわたるコメント要請に対し、現時点では回答していません。