Primero el sermón, luego el robo de datos: Apple pasa por alto una peligrosa vulnerabilidad en Podcasts

Apple Podcasts se abre de forma espontánea mostrando podcasts religiosos y "educativos" extraños y, en algunos casos, lleva a los usuarios a sitios potencialmente maliciosos. Especialistas descubrieron que la aplicación puede iniciarse de forma silenciosa desde el exterior y forzarla a mostrar el podcast elegido por un atacante, y uno de esos podcasts conduce a una página con un intento de ataque XSS.

En los últimos meses, un investigador notó que Apple Podcasts en iOS y macOS se inicia periódicamente por sí solo y abre podcasts religiosos, espirituales o educativos extraños. A veces, al desbloquear el equipo, el usuario encuentra la aplicación ya abierta mostrando algún episodio antiguo con un título sin sentido o incluso con un Gmail ajeno en el encabezado. Algunos episodios contienen grabaciones de sermones, pero otros son completamente mudos, como si hubieran existido solo para figurar en el catálogo.

Parece que no se trata de un simple fallo de interfaz, sino de un intento deliberado de "juguetear" con Apple Podcasts y sus usuarios. Wardle logró reproducir un comportamiento similar vía una página web: basta con visitar el sitio y el sistema, sin advertencias, abre automáticamente Apple Podcasts con el podcast que seleccionó el atacante. A diferencia de muchas otras aplicaciones, como Zoom, macOS no muestra confirmación alguna para abrir la aplicación de terceros.

El autoinicio en sí no constituye necesariamente un ataque completo, reconoce el experto. Pero crea un "mecanismo de entrega" conveniente si dentro de la propia aplicación se descubre una vulnerabilidad. En la práctica, un atacante obtiene una forma garantizada de obligar a decenas o cientos de miles de equipos a abrir una pantalla concreta en Apple Podcasts sin interactuar con el usuario.

Ya existe un ejemplo más evidente de intento de abuso. Uno de los podcasts misteriosos que aparecen en la investigación tiene un nombre basura como "5../XEWE2'""""…" y conduce a un sitio que intenta ejecutar un ataque XSS (cross-site scripting). Ese tipo de ataque permite inyectar código ajeno en una página externa que parece de confianza y luego usarlo, por ejemplo, para el robo de datos de usuarios. Hoy en día el XSS se considera más bien un "fruto fácil" en términos de seguridad, pero todavía se utiliza activamente.

En la descripción del podcast, la URL maliciosa está oculta en el campo "Show Website". Al acceder, el usuario llega a un dominio del tipo test[.]ddv[.]in[.]ua, donde aparece una ventana emergente con el mensaje "XSS" y la indicación del dominio, como si alguien estuviera probando y demostrando la existencia de la vulnerabilidad. En los comentarios al podcast ya hay quejas: uno de los oyentes lo califica directamente como "intento de ataque XSS" y se pregunta cómo Apple permite algo así en el catálogo.

Aún no está claro si alguien logró explotar realmente estas cadenas —desde el podcast extraño hasta la posible vulnerabilidad—. Sin embargo, según Wardle, está claro que alguien está sondeando sistemáticamente la resistencia de Apple Podcasts, comprobando hasta qué punto puede usarse como plataforma para ataques. Al autor le recuerda la antigua oleada de spam en Google Calendar, cuando los atacantes añadían masivamente eventos con enlaces de phishing.

Ante todo esto, el silencio de Apple resulta aún más extraño: según el informe, la compañía ignoró cinco solicitudes separadas de comentarios de 404 Media, pese a que respondió en otros asuntos durante el mismo periodo. Formalmente no se trata todavía de una vulnerabilidad crítica, pero son precisamente estas "pequeñas rarezas" las que a menudo constituyen la primera señal de que un servicio popular se ha convertido en una plataforma propicia para experimentos y futuros ataques.