Votre application Apple Podcasts s’ouvre-t-elle toute seule pour afficher des contenus étranges ? Vous n’êtes pas les seuls. Des chercheurs en sécurité ont signalé une activité suspecte ciblant l’application native d’Apple, aussi bien sur iPhone que sur Mac. Selon 404 Media, ce phénomène pourrait servir de cheval de Troie pour diffuser des contenus malveillants.

Apple Podcasts Icone Logo

Des podcasts qui s’invitent sans permission

Depuis plusieurs mois, l’application se lance inopinément chez certains utilisateurs, parfois dès le déverrouillage de l’appareil, pour proposer des podcasts classés dans les catégories religion, spiritualité ou éducation. Plus inquiétant que le thème, c’est la nature de ces programmes qui interpelle : leurs titres contiennent souvent des fragments de code, des URL bizarres et même des tentatives d’attaques par script intersite (XSS).

Patrick Wardle, expert en sécurité chez Objective-See, a réussi à reproduire ce comportement via un simple site Web. Il souligne une faille d’ergonomie critique : « Le simple fait de visiter un site Web suffit à déclencher l’ouverture de Podcasts (et à charger un podcast choisi par l’attaquant), et contrairement aux autres lancements d’applications externes sur macOS, aucune invite ou approbation de l’utilisateur n’est requise ».

Un vecteur d’attaque potentiel

L’un des podcasts identifiés contient un lien redirigeant vers un site tentant une attaque XSS. Si, pour l’instant, le site se contente d’afficher une fenêtre contextuelle confirmant la tentative, le danger est réel. Comme l’explique Patrick Wardle, même si ce comportement n’est pas immédiatement destructeur en soi, il constitue un mécanisme redoutable si des vulnérabilités plus importantes existent au sein de l’application. « Le niveau d’exploration montre que des adversaires évaluent activement l’application Podcasts comme une cible potentielle », prévient-il.

Cette méthode rappelle le spam massif qui avait touché Google Agenda il y a quelques années, où des événements non sollicités bourrés de liens promotionnels envahissaient les agendas des utilisateurs. Pour l’heure, Apple reste muet face aux sollicitations concernant ce problème.