Des ouvertures intempestives d’Apple Podcasts vers des émissions non abonnées ont été observées. Un rapport de 404 Media décrit un cas où un lien potentiellement malveillant exploite ce comportement pour tenter une attaque de cross‑site scripting (XSS).
Pas de risque immédiat, mais un vecteur à surveiller
Selon 404 Media, le phénomène est surtout gênant et ne représente pas un danger immédiat. Il pourrait toutefois devenir plus sérieux si une vulnérabilité exploitable était découverte dans l’app et combinée à ce comportement.
Le média relève que certaines émissions qui s’ouvrent automatiquement existent au moins depuis 2019, avec des épisodes parfois silencieux ou dans d’autres langues que l’anglais. Dans au moins un cas, un lien cherchait à rediriger vers un site tentant une attaque XSS.
Ce qui se passe techniquement
Le problème viendrait de la possibilité de lancer Apple Podcasts automatiquement depuis un lien, sans interaction de l’utilisateur. Le chercheur en sécurité macOS Patrick Wardle explique que la simple visite d’un site web peut suffire à ouvrir Apple Podcasts et charger une émission choisie par un attaquant, sans la fenêtre de confirmation habituellement requise pour d’autres lancements d’apps externes sur macOS.
Contexte et protections
Apple propose depuis des années des réglages et des filtres au niveau du système pour limiter les contenus indésirables et le spam (voir Apple Support). Des acteurs malveillants cherchent néanmoins à contourner ces protections, notamment en s’appuyant sur des mécanismes d’ouverture d’applications via des liens.
État des échanges
404 Media indique avoir sollicité Apple à plusieurs reprises au sujet de ce comportement, sans réponse de l’entreprise.
À retenir
- Apple Podcasts peut s’ouvrir automatiquement sur macOS depuis une simple visite de site.
- Des émissions non abonnées, souvent dans les catégories religion/spiritualité/éducation, s’affichent de manière aléatoire.
- Un cas de tentative de XSS a été identifié, sans risque immédiat généralisé selon 404 Media.
- L’absence de demande d’autorisation lors du lancement d’Apple Podcasts accroît la surface d’attaque potentielle.
