近日,多家国外媒体与安全研究者发现一件诡异的事:越来越多苹果用户的iPhone和Mac,在无人操作的情况下自动弹出苹果播客(Apple Podcasts),界面指向从未订阅过的宗教、灵修、教育类节目,有的节目标题充满奇怪的网址和参数,看起来更像“攻击脚本”而不是播客名称。更糟的是,其中至少有一个节目的页面,挂着通往疑似恶意网站的链接,被研究者点名“尝试发起XSS攻击”。
如果说过去骚扰用户的是日历垃圾邀请、iMessage垃圾信息,那么这一次,黑客显然把目光投向了苹果的又一个系统级入口:Podcasts正在被当作“投递器”测试。
一个可怕的,潜在的零点击漏洞
安全研究者实测发现:攻击者可以通过网页,静默拉起macOS/iOS上的Apple Podcasts,并直接打开特定节目,整个过程没有任何“是否允许打开某应用”的提示。这意味着,只要用户访问了某个精心构造的页面,系统就会在后台替攻击者“帮忙点开”播客应用,并展示对方指定的内容。
在当前已公开的案例中,这些节目多半只是垃圾内容或引流页面,看起来更像黑灰产在测试“能不能做到”——但从安全视角看,一个重要的跨应用调用通道,已经被证明存在且可控。如果未来发现Podcasts在解析订阅源、渲染页面或处理媒体流时存在漏洞,这条链路完全可能升级为零点击攻击路径。
节目页面里的恶意链接:老梗新用
更值得警惕的是部分播客页面中的“节目网站”链接。正常情况下,这一栏会指向节目的官网或平台主页;但在这起事件中,有节目把这里指向可疑站点,页面中出现明显的XSS测试痕迹——通过构造脚本,在受害者浏览器中执行恶意代码,实现窃取Cookie、伪造界面钓鱼、继续投放恶意载荷等。
从技术上说,目前还没有证据表明攻击者已借此完成大规模入侵,但组合效果不容忽视:
入口挂在苹果官方UI里;
由系统级应用打开,自带“安全光环”;
来自网页的自动拉起显著提高了用户点击概率。
黑客不需要一次到位,只要先把“站位”抢好、路径打通,等一个合适的漏洞,就能把这条通路武器化。
苹果的结构性安全问题
从日历垃圾邀请、iMessage垃圾信息,到今天的 Podcasts异常拉起,苹果这几年反复暴露同一个结构性安全问题:系统自带应用天然被用户高度信任,却又不断沦为黑灰产和攻击“白衣渡江”的载具。
Podcasts具备几个典型“高价值攻击面”的特征:
预装在数十亿设备上,覆盖iPhone、iPad、Mac;
可以被网页静默拉起;
内容形态复杂,既有音频,又有描述和外链;
审核重内容轻安全,很容易混入“内容像垃圾、行为像攻击”的节目。
在这种结构下,攻击者完全可以把Podcasts当成“合法外衣”:表面是讲灵修、讲教育,实际上是挂恶意链接、导流到钓鱼或漏洞利用站点。对于习惯“看到苹果界面就放松警惕”的普通用户来说,这是非常危险的错位信任。
用户与企业现在该怎么做?
从实战角度,现阶段可以这样应对:
对普通用户:
发现Podcasts自动弹出陌生节目,不要好奇点开节目网站、二维码、促销链接;
不在播客页面中输入账号、钱包、验证码等敏感信息;
及时更新系统和应用,等待苹果后续安全补丁;
在心理上把系统应用视为“普通复杂软件”,而不是天然安全的白名单。
对企业与安全团队:
在EDR/日志中纳入Podcasts相关进程与调用链监控,关注“访问同一网站后多机几乎同时启动Podcasts”这类异常模式;
在威胁建模中显式加入“合法系统应用被用作投递器”的场景,而不仅仅盯第三方软件;
对可疑播客官网域名、短链做网关级拦截,并将IOC纳入内部情报库和安全培训案例。
问题最终仍回到苹果身上
从安全治理角度看,要真正化解这类风险,苹果至少需要在三件事上补课:
收紧跨应用拉起规则。对来自网页的Podcasts拉起行为引入更细粒度的安全控制,必要时要求用户确认,或允许企业策略级关闭。
按高风险组件标准加固Podcasts。把节目源解析、页面展示、外链跳转做更强隔离,即便出现XSS或解析漏洞,也尽量限制在小范围沙箱内。
提升播客目录的反滥用能力。针对标题堆URL、长期无内容、集中指向可疑域名的节目,建立自动化审查与下架机制,并对外透明说明处置结果。
对安全从业者来说,这起事件更像一次“预警演习”而非终局事故,但它敲响了警钟:真正危险的往往不是那条新出现的恶意链接,而是那个被我们习惯性信任、却被黑客悄悄拿来做工具的系统应用。
相 关 阅 读
