Apple Podcasts s’ouvrirait parfois sans prévenir pour montrer des programmes « étranges »

Drôle de bug dans Apple Podcasts. 404 Media a récemment relevé que l’app pouvait s’ouvrir sans raison pour montrer une émission à laquelle vous n'êtes pas abonné. Un couac sans réel danger dans l’immédiat qui interroge, les programmes en question abordant des sujets comme la religion, l’éducation ou la spiritualité.

« J'ai remarqué que les versions iOS et Mac de l'application Podcasts ouvrent des podcasts sur la religion, la spiritualité et l'éducation sans raison apparente », explique le journaliste. « Parfois, lorsque je déverrouille mon appareil, l'application Podcasts s'est lancée toute seule et m'a présenté l'un de ces podcasts étranges ». Une des pages contenait un lien vers un site web potentiellement malveillant.

Les émissions ne sont pas décrites en détail, mais l’une d’entre elles avait un titre en arabe qui pourrait se traduire librement par « Paroles de vie » et qui comprenait une adresse Gmail personnelle. Les podcasts contiennent parfois réellement du son, là où d'autres sont complètement silencieux. Ils datent souvent de plusieurs années, ce qui est encore plus intrigant.

À ce stade, rien n’indique une compromission des appareils : tout laisse penser à un déclenchement via des liens web capables d’ouvrir Podcasts et de charger une émission sans action de l'utilisateur. Un chercheur interrogé par 404 Media dit avoir reproduit ce scénario sur macOS. L’ouverture d’une fiche programme n’entraîne ni installation ni abonnement automatique, mais peut exposer à des URL externes présentes dans la description. Dans au moins un cas, le lien « Site web de l’émission » pointait vers une page testant une injection XSS (exécution de code dans le navigateur), sans preuve d’exploitation aboutie pour l’instant.

Ce n’est pas un cas isolé d’abus des services Apple par des acteurs malveillants. En septembre, une campagne d’hameçonnage exploitait des invitations Calendrier envoyées depuis l’infrastructure d’Apple, rendant les pièges particulièrement crédibles. La prudence s’impose donc : évitez de cliquer sur des liens inconnus de podcasts que vous ne connaissez pas.