Apple Podcasts kullanıcıları son günlerde uygulamayla ilgili tuhaf bir sorun bildirmeye başladı. Uygulama kullanıcıların herhangi bir müdahalesi olmadan kendi kendine açılıyor ve genellikle abone olunmayan yayınları ekrana getiriyor. Bu durum bazı kullanıcılar için can sıkıcı bir deneyim yaratırken potansiyel güvenlik riskleri konusunda da endişelere yol açıyor.
Apple Podcasts uygulamasındaki gizemli hata güvenlik endişesi yaratıyor
Raporlara göre Apple Podcasts uygulaması beklenmedik anlarda arka plandan çıkarak bir podcast yayınını oynatmaya başlıyor. Kullanıcıların büyük bir bölümü bu istenmeyen yayınların genellikle din, maneviyat ve eğitim kategorilerinde olduğunu belirtiyor. Durumu daha da tuhaf kılan ise bazı podcastlerin 2019 yılına kadar uzanan eski tarihlere sahip olması.
Hatta bazı bölümlerin tamamen sessiz olduğu veya İngilizce dışında dillerde içerik sunduğu da gelen bilgiler arasında. Bu durum sorunun yeni olmadığını ancak son zamanlarda daha fazla kullanıcıyı etkilemeye başladığını gösteriyor.
Bu beklenmedik davranış sadece bir rahatsızlık unsuru olmanın ötesine geçebilir. Sızıntılara göre kendi kendine açılan podcast yayınlarından en az bir tanesi kullanıcıları potansiyel olarak kötü amaçlı bir bağlantıya yönlendirmeye çalıştı. Bu bağlantının site-içi betik çalıştırma ya da bilinen adıyla XSS saldırısı gerçekleştirmek için tasarlandığı iddia ediliyor.
XSS saldırıları bir saldırganın meşru görünen bir web sitesine kendi kötü amaçlı kodunu enjekte etmesiyle çalışır. Günümüzde daha az yaygın olsa da bu yöntem hala bir güvenlik açığı olarak kabul ediliyor. Uzmanlar mevcut durumda bunun kullanıcılar için acil bir risk oluşturmadığını belirtiyor. Ancak bu davranışla birleştirilebilecek başka bir uygulama açığının keşfedilmesi durumunda daha ciddi sorunların kapısını aralayabileceği ifade ediliyor.
MacOS güvenlik uzmanlarına göre sorunun temelinde uygulamanın bir bağlantı üzerinden otomatik olarak başlatılabilmesi yatıyor. Normalde macOS üzerinde Zoom gibi harici bir uygulamayı açan bir bağlantıya tıklandığında sistem kullanıcıdan bir onay ister. Fakat Apple Podcasts durumunda bu onay mekanizması çalışmıyor. Bir web sitesini ziyaret etmek bile uygulamanın otomatik olarak açılmasına ve saldırganın seçtiği bir podcast’i yüklemesine neden olabiliyor. Kullanıcının herhangi bir şeye tıklaması veya onay vermesi gerekmiyor.
Bu tür istenmeyen içerik ve spam sorunları Apple ekosisteminde ilk kez görülmüyor. Geçmişte Apple Takvim uygulamasında kripto para dolandırıcılığı amaçlı spam davetiyeler yaygınlaşmış iMessage servisi de benzer sorunlarla karşılaşmıştı. Apple yıllar içinde bu tür sorunları engellemek için çeşitli kullanıcı ayarları ve sistem düzeyinde filtreler uygulamaya koysa da kötü niyetli aktörler sürekli olarak bu korumaları aşmanın yeni yollarını buluyor. Raporlara göre Apple konuyla ilgili yapılan açıklama taleplerine henüz yanıt vermedi.
