Apple Podcastsアプリの不審な挙動が明らかに

セキュリティ研究者らは、AppleのPodcastsアプリ（iOSおよびmacOS版）において、悪意のあるコンテンツ配信に利用される可能性のある不審な挙動を確認したと報告しました。404Mediaのジョセフ・コックス氏のレポートによると、同氏は過去数ヶ月にわたり、アプリが自動的に起動し、ユーザーの操作なしに異常なポッドキャストを表示する現象に遭遇したといいます。特に、MacやiPhoneのロックを解除した瞬間に、宗教、スピリチュアル、教育に関するポッドキャストが意図せず開かれることがあったとのことです。

これらのポッドキャストは、しばしばコードの断片、URL、さらにはクロスサイトスクリプティング（XSS）攻撃の試みを含む奇妙なタイトルを持っていたと報告されています。

セキュリティ専門家による再現と警告

Objective-Seeのセキュリティ専門家、パトリック・ワードル氏は、コックス氏と同様の挙動を再現できたと述べています。ワードル氏の場合、ウェブサイトを訪れるだけでPodcastsアプリが開き、攻撃者が選択したポッドキャストが読み込まれることが確認されました。注目すべきは、macOSでは他の外部アプリ起動とは異なり、ユーザーへのプロンプトや承認なしにこの挙動が発生する点です。

特に懸念されるのは、あるポッドキャストがXSS攻撃を試みるサイトへのリダイレクトリンクを含んでいたことです。このサイトを訪問すると、XSS攻撃が行われたことを示すポップアップが表示されたといいます。

潜在的な脅威と過去の事例

ワードル氏は、この挙動自体が直ちに危険というわけではないものの、「Podcastsアプリ内に脆弱性が存在する場合、効果的な悪意のあるコンテンツ配信メカニズムとなりうる」と指摘しています。また、「攻撃者はPodcastsアプリを潜在的なターゲットとして積極的に評価している」と述べ、この問題の重要性を強調しました。

この状況は、数年前にGoogleカレンダーのスパム問題が報じられた事例と類似しています。当時は、悪意のあるアクターがユーザーのカレンダーに、リンクや宣伝コンテンツを含む迷惑なイベントを勝手に追加していました。

Appleの対応

コックス氏がこの問題についてAppleに複数回コメントを求めたものの、同社からの回答は得られなかったとのことです。

元記事: https://www.macrumors.com/2025/11/28/psa-apple-podcasts-app-malicious-content-delivery/