苹果播客被曝存在自动跳转BUG：可在后台强制唤醒并播放其他内容

花花

科技媒体404Media于1月27日发布报道，指出苹果播客（Apple Podcasts）存在一项安全隐患。多名用户反映，该应用会在未经操作的情况下自动启动，并跳转至用户未曾订阅的陌生播客节目。

据用户反馈，近期不少人在使用苹果设备时遇到了令人困惑的情况：Apple Podcasts 会无故自动开启，并直接播放某些涉及“灵性或教育”类内容的陌生节目。初步判断，这并非个别设备故障，而是一次影响范围较广的系统异常。

404Media 进一步分析指出，这些自动加载的节目并非普通垃圾内容，其标题中常含有类似“5../XEWE2′”的乱码字符串，实为攻击者尝试实施“跨站脚本攻击”（XSS）的手段。

报道解释，攻击者将恶意代码嵌入播客标题或节目描述中，试图触发设备执行非预期指令。尽管目前这类攻击手法相对初级，主要造成用户体验干扰，尚未发现直接窃取用户数据的行为，但仍暴露出播客应用在内容过滤机制上存在缺陷。

macOS安全专家、Objective-See创始人帕特里克・沃德尔已成功复现该漏洞。他指出，问题根源在于苹果允许部分外部链接在“无需用户点击”且“无授权提示”的情况下，直接唤醒播客应用。

与Zoom等应用在外部唤醒时会弹出确认框不同，攻击者仅需诱使用户访问含有特定脚本的网页，即可在后台强制启动并控制播客应用。沃德尔警告，若此类机制与更严重的系统漏洞结合，可能带来更深远的安全风险。