Apple Podcastアプリに不審な挙動 宗教番組やスピリチュアル番組を勝手に再生 米メディア報道:この頃、セキュリティ界隈で
米AppleのPodcastアプリが勝手にポッドキャストを立ち上げて、宗教番組やスピリチュアル番組などを再生してしまう――。そんな奇妙な現象が発生していると、米調査報道メディアの「404 Media」が伝えた。
米AppleのPodcastアプリが勝手にポッドキャストを立ち上げて、宗教番組やスピリチュアル番組などを再生してしまう――。そんな奇妙な現象が発生していると、米調査報道メディアの「404 Media」が伝えた。不正なコードを仕込んだWebサイトに誘導しようとする番組も見つかっており、専門家が懸念を示している。
404 Mediaによると、iOSとMacの両方のPodcastアプリで数カ月前から、宗教番組やスピリチュアル番組、教育番組などが何の脈絡もなく開いてしまう現象が発生するようになった。時にはマシンのロックを解除しただけでPodcastアプリが勝手に起動して、奇妙な番組が表示されることもあるという。
最も不審なのは、「5../XEWE2'""""onclic…」という奇妙なタイトルが付いた2019年ごろの番組だった。この番組のページで「Webサイトを表示する」のリンクをクリックすると、別のサイトにリダイレクトされ、クロスサイトスクリプティング(XSS)攻撃を試みるサイトにリスナーを誘導しようとする。
XSSは一見無害に見えるWebサイトに不正なコードを仕込む手口。うっかりアクセスすれば、ユーザーの情報が盗まれるなどの被害に遭いかねない。
Podcastアプリのレビューでは、このポッドキャストについて「詐欺。AppleはどうしてXSS攻撃の試みを許しているのか」というコメントが書き込まれていたという。
macOSのセキュリティに詳しい専門家のパトリック・ウォードル氏もこの問題を確認し、Xに下記のように投稿した。
- WebサイトがAppleのPodcastアプリで攻撃者の選んだポッドキャストをこっそり(指示なしで)起動できる……リモートのゼロクリック経路もあるらしい
- 攻撃者がXSS用にPodcastを詮索することもでき、これは(1)と非常にうまく組み合わせられる
ウォードル氏は404 Mediaに対し、こうした挙動自体は攻撃とはいえないものの、もしPodcastアプリに脆弱性が存在しているとすれば「非常に効果的な配信の手段」になり得ると指摘している。
この問題についてはAppleに取材を試みているが、何カ月たっても返事がないと404 Mediaは伝えている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
電話でメールアドレスを聞き出し、偽サイトへ誘導──「ボイスフィッシング」被害が急増、警察庁が注意呼びかけ
警察庁のサイバー警察局は12月4日、「ボイスフィッシング」による法人口座を狙った不正送金被害が急増しているとして注意を呼び掛けた。2024年秋ごろから被害が増えていたが、ここにきて再び急増しているという。
サイバーセキュリティ、“侵入前提”はもう時代遅れ? 今再び「防御」に注目が集まるワケ
サイバーセキュリティの分野で「攻撃者の侵入を前提とした事後検知・対応」というトレンドが、「侵入の予防」へと回帰しつつある。何が起きているのか。
Cloudflareの大規模障害、“迂回”が不正アクセスの引き金に? 「ネットワーク侵入テスト」になったとの指摘も
世界中の大手WebサイトやSNSをダウンさせた、CDN大手米Cloudflareの大規模障害。これに関連して、一部のWebサイトが防御が手薄になり、この間に不正侵入された恐れがある。専門家はログなどを確認するよう促している。
AIによるサイバー攻撃の民主化をUnit 42が警告 無料の「KawaiiGPT」巡り
Palo Alto NetworksのUnit 42は、悪意あるLLM「WormGPT 4」や「KawaiiGPT」の分析結果を公開し、AIの「デュアルユースのジレンマ」がサイバーセキュリティの中心課題だと警告した。これらのLLMの出現により、攻撃のライフサイクルが数日からわずか数分にまで圧縮されたとしている。
「Yahoo!防災速報」アプリ、サイバー防犯情報も配信 不正アクセスやフィッシング詐欺など
新たに、各都道府県警察のサイバーセキュリティ対策部門や生活安全部門から提供されたサイバー防犯情報も配信する。