בשבועות האחרונים, אפל פודקאסטים נמצאים תחת ביקורת התנהגות מוזרה אשר מספר משתמשים ומומחי אבטחת סייבר החלו לתעד. מה שנראה כבאג פשוט ומעצבן באפליקציית האודיו של אפל עורר בסופו של דבר חששות לגבי סיכוני אבטחה פוטנציאליים, במיוחד ב... מערכת אקולוגית של אייפון ומק כה נפוץ בספרד ובשאר אירופה.
על פי דיווחים טכניים שונים, האפליקציה לא רק נפתחת מעצמה בחלק מהמכשירים, אלא העלאת פודקאסטים לא ידועים עבור המשתמש, הודעות אלו קשורות לעתים קרובות לקטגוריות כמו דת, רוחניות או השכלה, ואף כוללות כותרות הדומות לקטעי קוד. אמנם לא זוהתה מתקפה מסיבית, אך הדפוס חריג מספיק כדי לגרום לחוקרים להפציר בזהירות ולתגובה ברורה מצד אפל.
האפליקציה שנפתחת מעצמה ומנגנת פודקאסטים שמעולם לא עקבתם אחריהם
מה שנצפה במדינות שונות, כולל בתוך האיחוד האירופי, הוא שפודקאסטים של אפל זה יכול להתחיל בלי התערבותחלק מהמשתמשים שנפגעו מדווחים שהאפליקציה מופעלת בעת פתיחת נעילת האייפון או המק שלהם, בעוד שאחרים ראו אותה מופעלת לאחר ביקור בדפי אינטרנט מסוימים, למרות שלא לחצו על אף כפתור או קישור הקשורים לפודקאסטים.
במקרים אלה, האפליקציה מציגה פרקים של תוכניות שהמשתמש לא מנוי וגם לא זוכרים ששמעו עליהם אי פעם. לעתים קרובות הם נופלים תחת קטגוריות של דת, רוחניות או חינוך, ולפעמים מדובר בפרקים אילמים, בשפות אחרות, או עם כותרות כה מוזרות עד שנראה שנועדו לבחון את המערכת במקום למשוך מאזינים אמיתיים.
מומחי אבטחה שניתחו את ההתנהגויות הללו מצביעים על כך שזה משהו נָדִיר האפליקציות הרשמיות של אפל בדרך כלל נשלטות בקפידה מבחינת הרשאות והתנהגות ברקע. העובדה שתוכנית מערכת נפתחת ללא התערבות המשתמש וטוענת תוכן שנבחר חיצונית באופן אוטומטי מעלה דגלים אדומים, למרות שעד כה לא אושרה התקפה מוצלחת.
התופעה אינה חדשה לחלוטין. חוקרים עקבו אחר פרקים חשודים אירועים אלה מתוארכים לפחות לשנת 2019, עם השמעה ספורדית של תוכן שקט או תוכן בשפות בלתי צפויות. עד כה, זה פורש יותר כמטרד או סוג של ספאם, אך בדיקות אחרונות מצביעות על כך שזה יכול להיות הבסיס למשהו חמור יותר אם משולב עם פגיעויות אחרות.
קישורים מוזרים וחשש של מתקפת XSS על Apple Podcasts
הנקודה שמדאיגה יותר מכל את קהילת הסייבר היא שלפחות באחד מהפודקאסטים האלה, זוהה קישור שעלול להיות זדוני מוטמע בתיאור הפרק. כותרת הסדרה כללה מחרוזת תווים אקראית לכאורה, בדומה לקטעי קוד, והפנתה לאתר אינטרנט שמנסה לבצע מתקפת סקריפטים חוצת אתרים, הידועה יותר בשם XSS. סוג זה של אירוע מזכיר בעיות ש... אפל תיקנה את זה ב-iOS בעבר באמצעות טלאים.
מתקפת XSS מתרחשת כאשר תוקף מזריק קוד משלו בדף שנראה לגיטימי במבט ראשון, כך שהקוד יבוצע בדפדפן של הקורבן. טכניקה זו הייתה פופולרית מאוד לפני שנים ואף גרמה לאירועים היסטוריים ברשתות חברתיות, כמו תולעת MySpace הידועה לשמצה. כיום, היא נותרה אחת מהפגיעויות הקלאסיות שמחפשות ומתוקנות כל הזמן באפליקציות ושירותים מקוונים.
במקרה הזה, מה שמטריד הוא לא רק נוכחות הקישור, אלא הערוץ שדרכו הוא מגיע: א פרק שמתפתח מעצמולמרות שאין עד כה אינדיקציה לכך שניסיון XSS זה הצליח לפרוץ למכשירים, הוא פותח את הדלת לתוקפים מתוחכמים יותר לבדוק שילובים עם פגיעויות אחרות, הן באפליקציה והן במערכת ההפעלה או בדפדפן.
אנשי המקצוע שאליהם התייעצו מתעקשים כי, לעת עתה, לא תועד נזק ישיר התנהגות זו של Apple Podcasts עוררה חששות בקרב המשתמשים. במילים אחרות, העובדה שפרק חריג מתנגן באייפון או ב-Mac שלכם לא בהכרח אומרת שהמכשיר שלכם נפרץ. עם זאת, התהליך הטכני שמאפשר השמעה זו ללא רשותכם עלול להפוך לווקטור תקיפה פוטנציאלי.
המפתח הוא שניתן להשתמש במסלול הזה כדי ספק קישורים מוכנים או תוכן שתוכנן במיוחד כדי לנצל פגיעויות עתידיות. במילים אחרות, בעוד שהיום זה אולי נראה כמו סתם פחד, מחר זה עלול להיות החלק החסר הדרוש כדי לשרשר יחד מספר פגיעויות ולשגר מתקפה אמיתית - דבר שלעולם לא נלקח בקלות ראש בתחום אבטחת הסייבר.
מקור הבעיה: קישורים שפותחים את Apple Podcasts בלי לשאול
הניתוחים מצביעים על כך שההתנהגות החריגה מבוססת על פונקציה לגיטימית של המערכת: פתח את אפליקציית הפודקאסטים מקישורבדיוק כמו קישורים אחרים שמפעילים אפליקציה ישירות (לדוגמה, פתיחת מפות או חנות האפליקציות מאתר אינטרנט), Apple Podcasts יכול להיפתח אוטומטית כשהוא נתקל בסוגים מסוימים של כתובות URL.
נקודת המחלוקת היא, כפי שהראה החוקר פטריק וורדל, בקרו באתר אינטרנט מוכן זה מספיק כדי לפתוח את Apple Podcasts ולטעון את התוכנית שבחר התוקף. יתר על כן, ב-macOS, זה קורה מבלי שהמערכת תבקש אישור מהמשתמש, בניגוד ליישומים חיצוניים אחרים כמו Zoom, אשר מציגים תיבת דו-שיח המבקשת אישור.
הבדל זה בטיפול גורם לכך שבפועל, אתר אינטרנט יכול לאלץ פתיחה של פודקאסטים והשמעת פרק, שיוצרת את תחושת "המק שלי עושה דברים לבד" כפי שמתארים משתמשים רבים. גם אם התוכן עצמו אינו מבצע שום דבר מסוכן, עצם העובדה שהאפליקציה נפתחת ללא התערבות אנושית נחשבת להתנהגות מסוכנת מבחינה ביטחונית.
במערכת האקולוגית של אפל, הנפוצה בספרד ובשאר אירופה, לסוג זה של פגיעות יש השפעה פוטנציאלית רחבה. החברה משלבת תכונות הגנה ברמת המערכת במשך שנים, כגון מסנני דואר זבל ב-iMessage וכללים נגד הזמנות חשודות בלוח שנה. התוקפים ממשיכים לחפש פתחים חדשים כניסה לשירותים הנחשבים מאובטחים כברירת מחדל.
למעשה, מקרה הפודקאסטים מזכיר פרשות אחרונות אחרות הקשורות לקמפיינים של ספאם או ניצול לרעה בפלטפורמות של אפל, כמו התעוררותן המחודשת של הזמנות המוניות בלוח שנה או שליחת הודעות לא רצויות ב-iMessage. כל וקטור אינטראקציה חדש המשתמש הופך להזדמנות עבור גורמים זדוניים, וכאן נראה שהם מצאו עוד אחת.
האם זה מהווה סכנה ממשית כרגע למשתמשים בספרד ובאירופה?
השאלה המרכזית עבור כל מי שמשתמש באייפון או במק מדי יום היא האם עליו להיות מודאג ברצינות מהנושא הזה. מומחים שחקרו את הנושא מסכימים כי, הסיכון המיידי נמוךאין ראיות לכך שנתונים נגנבים, תוכנות זדוניות מותקנות או שמכשירים נשלטים מרחוק אך ורק בגלל התנהגות זו של Apple Podcasts.
מה שכן קיים הוא סיכון פוטנציאלי לטווח בינוניאם מישהו יגלה פגיעות נוספת באפליקציה או במערכת ההפעלה עצמה, הוא יוכל לשלב אותה עם היכולת לפתוח פודקאסטים מהאינטרנט ללא הסכמה, ולאחר מכן לבצע מתקפה מקיפה יותר. זו הסיבה שהנושא זכה לתשומת לב רבה בתקשורת המתמחה ובקרב חוקרי אבטחה של macOS.
באירופה, היכן המסגרת המשפטית נוקשה במיוחד מבחינת פרטיות והגנה על נתונים, מצבים כאלה גם מפעילים לחץ רגולטורי על חברות הטכנולוגיה הגדולות. למרות שמדובר יותר בבעיית ספאם מאשר בפריצה חמורה, העובדה שניתן להשתמש באפליקציית מערכת כדי להפיץ קישורים חשודים ללא פיקוח ברור לא ממש מתיישבת עם השיח הרגיל של אפל בנושא אבטחה ובקרה.
ראוי לציין גם שהתנהגות זו זה משפיע על iOS ו-macOSכלומר, לאייפונים, אייפדים ומחשבי מק. רוב המשתמשים האירופיים משלבים מספר מכשירים בתוך המערכת האקולוגית של המותג, מה שמגדיל את הסיכוי שפרקי השמעה בלתי צפויים אלה יתרחשו במכשירים שונים.
עד שיהיה עדכון רשמי או הסבר מפורט, מומחים ממליצים אל תירגעו, אבל גם אל תיבהלו.אנחנו מתמודדים עם וקטור התקפה פוטנציאלי, לא עם פרצה מפותחת במלואה שפוגעת באופן דרמטי בנתוני המשתמש.
המלצות מעשיות: מה תוכלו לעשות אם אתם משתמשים ב-Apple Podcasts
אם נתקלתם בפודקאסטים של אפל שנפתחים מעצמם או בפרקים מוזרים בספרייה שלכם, ישנם מספר צעדים פשוטים שתוכלו לנקוט כדי למזער סיכונים. הראשון, והברור ביותר, הוא הימנעו מלחיצה על קישורים שאינכם מזהים. בתוך האפליקציה עצמה, במיוחד כאלה עם כותרות מוזרות או שנראות כמו קוד.
כמו כן, חשוב לשמור על מערכת ההפעלה וגם האפליקציות מעודכנות. עדכון iOS, iPadOS ו-macOS שדרוג לגרסה היציבה האחרונה מפחית משמעותית את הסבירות שתוקף יוכל לשלב התנהגות חריגה מסוג זה עם פגיעויות אחרות שכבר ידועות ותוקנו בתיקונים האחרונים.
עבור אלו שמשתמשים לעתים רחוקות בפודקאסטים של אפל או לא מאזינים לפודקאסטים לעתים קרובות, אפשרות ישירה אף יותר היא להסיר את ההתקנה של האפליקציה באופן זמני בעוד שאפל חוקרת ומתקנת את הבעיה, במכשירים קיימים ניתן להסיר ולהתקין מחדש אפליקציות מערכת מחנות האפליקציות ללא סיבוכים נוספים, כך שלא אובדת פונקציונליות לטווח ארוך.
אם אתם רוצים להמשיך להאזין לתוכניות האהובות עליכם מבלי להסתמך על פודקאסטים, תוכלו להשתמש... ספוטיפיי או יוטיובשבו חלק ניכר מהתוכן הרגיל זמין גם כן. זה לא פתרון סופי או הכרחי לכולם, אבל זה יכול להיות פתרון טוב לעקיפה עבור אלו שמעדיפים ללכת על בטוח עד שתהיה יותר בהירות.
לבסוף, מומלץ להיות ערניים להתנהגות חריגה באפליקציות של אפל באופן כללי: פתיחות בלתי צפויות, התראות מוזרות, מנויים שאתם לא זוכרים שהפעלתם וכו'. רוב הסימנים הללו הם בדרך כלל רק מטרד או ניסיונות ספאם, אך שמירה על גישה ערנית עוזרת לזהות בעיות חמורות יותר מוקדם.
בהיעדר תגובה רשמית מצד אפל, מקרה הפודקאסטים של אפל הפך לדוגמה נוספת לאופן שבו אפילו האפליקציות הוותיקות ביותר יכולות להציג התנהגות בלתי צפויה. למרות שאינן קטסטרופליות, בעיות אלו מצדיקות זהירות. בין פרקים שנפתחים אוטומטית, קישורים לניסיון סקריפטים בין אתרים (XSS), והיכולת להפעיל את האפליקציה מהאינטרנט ללא אישור, התחושה הכללית היא שיש מקום לשיפור והחברה תצטרך לנקוט פעולה כדי לסגור את הפגיעות הפוטנציאלית הזו לפני שמישהו ינצל אותה באמת.
