Black-hat-hackers exploiteren podcast-applicaties, met name Apple Podcasts, als een nieuwe aanvalsvector, zo blijkt uit recente bevindingen van Joseph Cox van 404 Media. Deze kwetsbaarheid zorgt voor ongevraagde app-lanceringen en mogelijk verdere systeemcompromissen. Gedurende een aantal maanden vertoonden Apple Podcast-applicaties op zowel een iPhone als een Mac ongebruikelijk gedrag. Podcasts, die overwegend religieus van aard zijn, worden automatisch gelanceerd zonder dat de gebruiker hierom vraagt of zich hoeft te abonneren. De metagegevens die aan deze ongevraagde podcasts waren gekoppeld, bevatten verdachte elementen, waaronder persoonlijke e-mailadressen, meertalige geloofsgerelateerde zinnen en betreffende codereeksen. Patrick Wardle, een macOS-beveiligingsexpert en oprichter van Objective-See, verklaarde: “Het meest zorgwekkende gedrag is dat de app automatisch kan worden gestart met een podcast naar keuze van de aanvaller. Ik heb soortgelijk gedrag gerepliceerd, zij het via een website: simpelweg een website bezoeken is voldoende om Podcasts te openen (en een podcast naar keuze van de aanvaller te laden), en in tegenstelling tot andere externe apps die op macOS worden gestart (bijvoorbeeld Zoom), is er geen prompt of goedkeuring van de gebruiker vereist.” Deze geautomatiseerde startmogelijkheid roept zorgen op over mogelijke ongeautoriseerde toegang tot randapparatuur van apparaten. Als een applicatie als Zoom, die camerafuncties bestuurt, op dezelfde manier kan worden geactiveerd zonder tussenkomst van de gebruiker, suggereert dit een pad voor kwaadaardige podcasts om mogelijk onbewust webcams of microfoons te activeren. Gebruikers kunnen alternatieve podcast-applicaties overwegen, zoals Pocket Casts, om dit risico te beperken.
