Jika iPhone atau Mac Anda mulai bertingkah seperti kesurupan — khususnya, jika aplikasi Apple Podcasts terus muncul dengan sendirinya untuk memutar acara acak yang belum pernah Anda dengar — Anda tidak gila.
Pengguna telah melaporkan hal ini selama berbulan-bulan. Satu menit perangkat mereka tidak digunakan, dan menit berikutnya, aplikasi Podcast mulai sendiri dan memuat acara yang aneh dan tidak jelas. Ini bukanlah hasil terbaik dalam grafik; Seringkali berupa khotbah keagamaan acak, file audio kosong, atau acara dengan judul penuh simbol yang tidak jelas.
File audio hantu dan peluncuran otomatis
Peneliti keamanan Patrick Wardle menyelidiki hal ini dan menemukan sesuatu yang mengkhawatirkan: Sebuah situs web dapat memaksa aplikasi Podcast Anda untuk membuka dan memuat acara apa pun yang diinginkan pemilik situs, semuanya tanpa meminta izin Anda. Di Mac, sebagian besar aplikasi bertanya sebelum memutar dari tautan web (seperti yang dilakukan Zoom), tetapi podcast tampaknya mengabaikan pemeriksaan keamanan tersebut sepenuhnya.
Bahkan lebih grafis? Beberapa podcast “hantu” ini berisi tautan dalam deskripsinya yang mencoba menjalankan kode berbahaya (disebut serangan XSS) atau mengarahkan Anda ke situs web palsu.
Mengapa ini penting: Titik buta keamanan
Bagian yang menakutkan sebenarnya bukanlah podcast aneh itu sendiri; Begitulah cara mereka sampai di sana.
Fakta bahwa pihak luar dapat meluncurkan aplikasi di ponsel atau laptop Anda dari jarak jauh untuk membuka dan memuat konten tertentu tanpa menyentuh apa pun merupakan tanda bahaya keamanan yang besar. Wardle menunjukkan bahwa ini belum merupakan “peretasan” lengkap pada perangkat Anda, tetapi ini adalah pintu terbuka lebar yang seharusnya tidak ada di sana. Ini pada dasarnya mengubah aplikasi Podcast menjadi sistem pengiriman penipuan atau malware.
Anggap saja seperti masalah “spam Google Kalender” yang lama, di mana acara acak muncul di jadwal Anda dengan tautan yang mencurigakan. Ini adalah konsep yang sama, namun terjadi pada aplikasi yang mungkin Anda percayai secara implisit. Jika penyerang menemukan kerentanan yang lebih dalam pada kode aplikasi, mereka dapat menggunakan trik otomatisasi ini untuk menyebabkan kerusakan serius.
Apa selanjutnya: Akankah Apple memperbaikinya?
Inilah bagian yang membuat frustrasi: Apple tidak mengucapkan sepatah kata pun. Meskipun hal ini telah terjadi selama berbulan-bulan dan para peneliti telah memberikan peringatan, belum ada pengakuan publik dan belum ada perbaikan yang dirilis.
Pakar keamanan yakin pelaku kejahatan saat ini sedang “menyelidiki” sistem tersebut, pada dasarnya menguji pagar untuk melihat apa yang bisa mereka lakukan. Sampai Apple memperbaiki kerentanan ini, bersikaplah skeptis. Jika aplikasi Podcasts terbuka tanpa undangan, jangan penasaran. Segera tutup dan jangan klik tautan apa pun di catatan acara aneh itu.
