苹果播客被曝存在自动跳转BUG：可在后台强制唤醒并播放其他内容

　　爱思助手最新消息，科技媒体 404Media 1 月 27 日发布博文，报道称苹果播客（Apple Podcasts）曝出安全隐患，多名用户反映该应用会自动打开并跳转至未订阅的陌生节目。

　　消息源指出不少苹果用户近期遭遇了令人困惑的体验：手中的 Apple Podcasts 应用会在未经任何操作的情况下自动启动，并直接跳转至某些关于“灵性或教育”（religion, spirituality, and education）类别的陌生节目。这并非单一的设备故障，而是一场波及范围较广的安全骚扰。

　　该媒体进一步分析发现，这些自动加载的播客节目并非普通的垃圾内容，其标题往往包含类似“5../XEWE2′”的乱码字符，这实际上是黑客试图实施“跨站脚本攻击”（XSS）的手段。

　　据博文介绍，攻击者将恶意代码注入播客标题或描述中，试图诱导设备执行非预期的指令。尽管 404 Media 指出，目前的攻击手段相对初级，主要造成用户困扰，而非直接的数据窃取，但这无疑暴露了应用在代码过滤层面的短板。

　　macOS 安全专家、Objective-See 创始人帕特里克・沃德尔（Patrick Wardle）复现该漏洞。他指出，核心风险在于苹果允许外部链接在“零点击”且“无授权提示”的情况下直接唤醒播客应用。

　　与 Zoom 等应用在外部唤醒时会弹出“是否打开”的确认框不同，攻击者只需诱导用户访问植入了特定脚本的网页，即可在后台强制控制播客应用的启动与加载。这种机制若与更严重的系统漏洞结合，后果将不堪设想。

特别声明：本文版权归文章作者所有，仅代表作者观点，不代表爱思助手观点和立场。本文为第三方用户上传，仅用于学习和交流，不用于商业用途，如文中的内容、图片、音频、视频等存在第三方的知识产权，请及时联系我们删除。