Apple Podcasts kullanıcıları, son zamanlarda uygulamada beklenmedik bir durumla karşılaşıyor. Uygulama, kullanıcı etkileşimi olmadan kendiliğinden açılıyor ve sıklıkla abone olunmayan podcast yayınlarını başlatıyor. Bu durum, bazı kullanıcılar için rahatsız edici bir deneyim oluştururken, olası güvenlik riskleri hakkında da endişelere yol açıyor.
Kullanıcı raporlarına göre, Apple Podcasts uygulaması beklenmedik anlarda arka plandan çıkarak bir podcast yayınını oynatmaya başlıyor. Bu istenmeyen yayınların çoğunlukla din, maneviyat ve eğitim gibi kategorilerde olduğu belirtiliyor. Daha da ilginç olanı, bazı podcastlerin geçmişinin 2019 yılına kadar uzanması. Hatta bazı bölümlerin tamamen sessiz olduğu veya İngilizce dışındaki dillerde içerik sunduğu da bildiriliyor. Bu durum, sorunun yeni olmadığını ancak son zamanlarda daha fazla kullanıcıyı etkilemeye başladığını gösteriyor.
Bu beklenmedik davranış sadece bir rahatsızlık unsuru olmanın ötesine geçebilir. Elde edilen bilgilere göre, kendi kendine açılan podcast yayınlarından en az bir tanesi kullanıcıları potansiyel olarak zararlı bir bağlantıya yönlendirmeye çalıştı. Bu bağlantının, site-içi betik çalıştırma (XSS) saldırısı gerçekleştirmek için tasarlandığı düşünülüyor.
XSS saldırıları, bir saldırganın meşru görünen bir web sitesine kendi kötü amaçlı kodunu enjekte etmesiyle gerçekleşir. Günümüzde daha az yaygın olsa da bu yöntem hala bir güvenlik açığı olarak kabul ediliyor. Uzmanlar, mevcut durumda bunun kullanıcılar için acil bir risk oluşturmadığını belirtiyor. Ancak bu davranışla birleştirilebilecek başka bir uygulama açığının keşfedilmesi durumunda daha ciddi sorunların ortaya çıkabileceği ifade ediliyor.
MacOS güvenlik uzmanlarına göre sorunun temel nedeni, uygulamanın bir bağlantı üzerinden otomatik olarak başlatılabilmesi. Normalde macOS üzerinde Zoom gibi harici bir uygulamayı açan bir bağlantıya tıklandığında sistem kullanıcıdan onay ister. Ancak Apple Podcasts durumunda bu onay mekanizması devreye girmiyor. Sadece bir web sitesini ziyaret etmek bile uygulamanın otomatik olarak açılmasına ve saldırganın seçtiği bir podcast’i yüklemesine neden olabiliyor. Kullanıcının herhangi bir tıklama yapması veya onay vermesi gerekmiyor.
Bu tür istenmeyen içerik ve spam sorunları Apple ekosisteminde ilk kez yaşanmıyor. Geçmişte Apple Takvim uygulamasında kripto para dolandırıcılığı amaçlı spam davetiyeler yaygınlaşmış, iMessage servisi de benzer sorunlarla karşılaşmıştı. Apple yıllar içinde bu tür sorunları engellemek için çeşitli kullanıcı ayarları ve sistem düzeyinde filtreler uygulamaya koysa da kötü niyetli kişiler sürekli olarak bu korumaları aşmanın yeni yollarını buluyor. Şu ana kadar Apple, konuyla ilgili yapılan açıklama taleplerine herhangi bir yanıt vermedi.
