安全研究者称 Apple Podcasts可能已被用于投递恶意内容

网络安全网站404 Media研究员Joseph Cox近日发文称， Apple Podcasts应用在iPhone与Mac上出现了异常行为，应用会在用户没有主动操作的情况下自动打开并加载特定的播客页面，且部分播客在“显示网站”字段中嵌入了可疑跳转链接，访问后会重定向到如 test[.]ddv[.]in[.]ua 等域名并出现标注“XSS”的弹窗，研究者认为这可能是探测或投递跨站脚本类攻击的一种尝试，但目前并无确凿证据显示已有设备被成功入侵或大规模利用。

多位安全专家对该现象进行了复核，macOS安全专家、Objective-See创始人Patrick Wardle称，最令人担忧的是攻击者似乎能够在用户毫无操作的情况下触发Podcasts自动启动并加载指定内容。他在复现测试中发现，仅需访问一个经过特殊构造的网页，即可让系统直接唤起Podcasts并打开攻击者预设的播客页面，全程无需提示或授权，这与macOS在打开其他外部应用（如Zoom）时通常要求用户确认的安全机制并不一致，显示出潜在的滥用空间，这种“可信平台”上的异常行为若被利用，可能绕过用户对来自未知网站的防范。

相关用户评论也显示有用户注意到了这些不寻常的细节，有使用者在应用内留下一星并称“Scam”（欺诈），表明普通用户也注意到异常跳转与可疑弹窗。

目前，网络专家建议用户不要点击播客页面中不明的“网站”链接，检查并移除来源不明的订阅，同时保持系统与应用更新，以降低潜在风险，研究者则建议将可疑条目上报苹果以便进一步调查与封堵。

截至发稿，苹果方面尚未就此事发布正式声明或修补通告。