Un giornalista di 404.Media ha iniziato a notare uno strano fenomeno, sia su iOS che su Mac, l’app Podcasts si comporta come posseduta. Si apre senza motivo, propone podcast bizzarri su religione, spiritualità e istruzione che lui non ha mai cercato né sottoscritto. E alcuni di questi podcast nascondono qualcosa di più inquietante: link a siti potenzialmente dannosi, tentativi maldestri di attacchi informatici che puzzano di esperimenti mal riusciti.

I titoli di questi podcast sono il primo segnale che qualcosa non quadra. Non sono titoli normali. Sono stringhe di testo malformate, link troncati, frammenti di codice che sembrano usciti da un tentativo goffo di fare qualcosa che non dovrebbe essere fatto. Alcuni includono addirittura indirizzi Gmail casuali o frasi in arabo.

Una volta aperti, alcuni contengono effettivamente audio, come sermoni religiosi registrati anni fa. Altri sono completamente silenziosi, file vuoti che non hanno alcun motivo di esistere. Ma tutti hanno una cosa in comune: spuntano fuori dal nulla, come se qualcuno li stesse iniettando nel sistema per vedere cosa succede.

Un esperto replica l’attacco, ed è preoccupante

Il giornalista non sapeva cosa stesse succedendo, e nemmeno riusciva a capirlo. Così ha chiamato Patrick Wardle, esperto di sicurezza macOS e fondatore di Objective-See, un’organizzazione specializzata nella sicurezza dei Mac. E Wardle ha confermato che sì, c’è qualcosa di molto strano.

Il comportamento più preoccupante è che l’app può essere avviata automaticamente con un podcast scelto dall’autore dell’attacco , ha spiegato. Wardle è persino riuscito a replicare un comportamento simile usando semplicemente un sito web: basta visitarlo e Podcasts si apre da solo, caricando il contenuto scelto dall’hacker. E, dettaglio inquietante, non viene richiesta nessuna conferma all’utente.

È vero, sottolinea Wardle, che di per sé questo non è un attacco devastante. Non è l’hacking del secolo, nessuno sta svuotando il conto in banca. Ma crea un meccanismo di distribuzione molto efficace se qualcuno scoprisse una vulnerabilità vera nell’app Podcasts. È come lasciare la porta socchiusa: magari adesso non entra nessuno, ma se qualcuno passa di lì e la vede aperta, potrebbe decidere di entrare.

E qualcuno, effettivamente, ha provato a fare qualcosa di più dannoso, con un tentativo di attacco XSS. Per chi non mastica sicurezza informatica, l’XSS è quando un hacker inietta il proprio codice dannoso in un sito web che altrimenti sembrerebbe legittimo, sperando che qualcuno lo esegua senza accorgersene.

Gli attacchi XSS erano molto più comuni una decina di anni fa. Sono relativamente facili da eseguire e sono stati usati per cose come il famigerato worm di MySpace. Che qualcuno stia ancora provando a farli funzionare su Apple Podcasts nel 2025 dice due cose: o sono dilettanti che non hanno aggiornato il repertorio, o stanno testando il terreno per vedere se Apple ha lasciato buchi nella sicurezza.

E a quanto pare, non è solo il giornalista ad aver notato il problema. Anche altri utenti hanno notato il lo strano fenomeno e hanno lasciato recensioni negative sull’app.

Apple fa finta di niente

Apple non ha risposto a nessuna delle cinque email in cui veniva richiesto un commento. Nel frattempo, l’azienda ha risposto tranquillamente ad altre email dello stesso giornalista relative ad altri articoli. Quindi non è che non legga la posta, semplicemente ha deciso di ignorare il problema.

Speriamo che Apple si ravveda e prenda sul serio quello che sta succedendo con Podcasts. Perché il fatto che un’app si apra da sola e carichi contenuti scelti da qualcun altro non è un bug divertente, è un vettore di attacco che aspetta solo di essere sfruttato come si deve.