हाल के हफ्तों में, Apple पॉडकास्ट जांच के दायरे में आ गया है अजीब सा व्यवहार कई उपयोगकर्ताओं और साइबर सुरक्षा विशेषज्ञों ने इसका दस्तावेज़ीकरण शुरू कर दिया है। ऐप्पल के ऑडियो ऐप में जो एक साधारण, परेशान करने वाला बग लग रहा था, उसने संभावित सुरक्षा जोखिमों को लेकर चिंताएँ बढ़ा दी हैं, खासकर iPhone और Mac पारिस्थितिकी तंत्र यह स्पेन और शेष यूरोप में बहुत व्यापक है।
विभिन्न तकनीकी रिपोर्टों के अनुसार, यह एप्लीकेशन न केवल कुछ डिवाइसों पर अपने आप खुलती है, बल्कि अज्ञात पॉडकास्ट अपलोड करें उपयोगकर्ता के लिए, ये संदेश अक्सर धर्म, अध्यात्म या शिक्षा जैसी श्रेणियों से संबंधित होते हैं, और यहाँ तक कि इनमें ऐसे शीर्षक भी शामिल होते हैं जो कोड के कुछ अंशों जैसे लगते हैं। हालाँकि अभी तक कोई बड़ा हमला नहीं हुआ है, लेकिन यह पैटर्न इतना असामान्य है कि शोधकर्ताओं ने सावधानी बरतने और Apple से स्पष्ट प्रतिक्रिया देने का आग्रह किया है।
वह ऐप जो अपने आप खुल जाता है और ऐसे पॉडकास्ट चलाता है जिन्हें आपने कभी फ़ॉलो नहीं किया
यूरोपीय संघ सहित विभिन्न देशों में जो देखा जा रहा है, वह यह है कि Apple Podcasts यह बिना किसी हस्तक्षेप के शुरू हो सकता हैकुछ प्रभावित उपयोगकर्ताओं ने बताया कि यह ऐप उनके आईफोन या मैक को अनलॉक करने पर सक्रिय हो जाता है, जबकि अन्य ने देखा है कि पॉडकास्ट से संबंधित किसी बटन या लिंक पर क्लिक न करने के बावजूद, कुछ वेब पेजों पर जाने के बाद यह ऐप सक्रिय हो जाता है।
उन मामलों में, एप्लिकेशन उन कार्यक्रमों के एपिसोड दिखाता है जिन्हें उपयोगकर्ता सदस्यता नहीं ली गई न ही उन्हें याद है कि उन्होंने कभी उनके बारे में सुना हो। ये अक्सर धर्म, अध्यात्म या शिक्षा की श्रेणियों में आते हैं, और कभी-कभी ये मूक प्रसंग होते हैं, दूसरी भाषाओं में होते हैं, या इनके शीर्षक इतने अजीब होते हैं कि वे वास्तविक श्रोताओं को आकर्षित करने के बजाय व्यवस्था की परीक्षा लेने के लिए बनाए गए लगते हैं।
इन व्यवहारों का विश्लेषण करने वाले सुरक्षा विशेषज्ञों ने संकेत दिया है कि यह कुछ ऐसा है दुर्लभ ऐप्पल के आधिकारिक ऐप्स आमतौर पर अनुमतियों और पृष्ठभूमि व्यवहार के मामले में कड़े नियंत्रण में होते हैं। यह तथ्य कि कोई सिस्टम प्रोग्राम उपयोगकर्ता के हस्तक्षेप के बिना खुलता है और बाहरी रूप से चयनित सामग्री लोड करता है, स्वतः ही खतरे की घंटी बजा देता है, हालाँकि अभी तक किसी भी सफल हमले की पुष्टि नहीं हुई है।
यह घटना पूरी तरह से नई नहीं है। शोधकर्ताओं ने इसका पता लगाया है संदिग्ध प्रकरणों ये घटनाएँ कम से कम 2019 से चली आ रही हैं, जिनमें मूक सामग्री या अनपेक्षित भाषाओं में सामग्री का छिटपुट प्लेबैक शामिल है। अब तक, इसे एक उपद्रव या स्पैम के रूप में ज़्यादा समझा जाता था, लेकिन हालिया परीक्षणों से पता चलता है कि अगर इसे अन्य कमज़ोरियों के साथ जोड़ दिया जाए, तो यह किसी और गंभीर समस्या का आधार बन सकता है।
अजीब लिंक और Apple पॉडकास्ट पर XSS हमले का खतरा
साइबर सुरक्षा समुदाय के लिए सबसे अधिक चिंता की बात यह है कि इनमें से कम से कम एक पॉडकास्ट में, एक संभावित दुर्भावनापूर्ण लिंक का पता चला है एपिसोड विवरण में एम्बेड किया गया। शो के शीर्षक में कोड स्निपेट जैसे प्रतीत होने वाले वर्णों की एक बेतरतीब स्ट्रिंग शामिल थी, और यह एक ऐसी वेबसाइट पर रीडायरेक्ट हो रही थी जो क्रॉस-साइट स्क्रिप्टिंग हमले को अंजाम देने की कोशिश कर रही थी, जिसे आमतौर पर XSS के रूप में जाना जाता है। इस प्रकार की घटना उन समस्याओं की याद दिलाती है जो Apple ने iOS में इसे ठीक कर दिया है अतीत में पैच के माध्यम से।
XSS हमला तब होता है जब कोई हमलावर अपना स्वयं का कोड इंजेक्ट करता है पहली नज़र में वैध लगने वाले किसी पेज पर, ताकि कोड पीड़ित के ब्राउज़र में निष्पादित हो जाए। यह तकनीक वर्षों पहले बहुत लोकप्रिय थी और यहाँ तक कि सोशल नेटवर्क पर कुख्यात माइस्पेस वर्म जैसी ऐतिहासिक घटनाओं का कारण भी बनी। आज भी, यह उन क्लासिक कमज़ोरियों में से एक है जिन्हें ऑनलाइन एप्लिकेशन और सेवाओं में लगातार खोजा और पैच किया जा रहा है।
इस मामले में, परेशान करने वाली बात सिर्फ लिंक की मौजूदगी नहीं है, बल्कि वह चैनल है जिसके माध्यम से वह आता है: वह प्रकरण जो अपने आप सामने आता हैहालांकि अभी तक ऐसा कोई संकेत नहीं है कि इस XSS प्रयास से डिवाइसों को नुकसान पहुंचाने में सफलता मिली है, लेकिन इससे अधिक परिष्कृत हमलावरों के लिए ऐप और ऑपरेटिंग सिस्टम या ब्राउज़र दोनों में अन्य कमजोरियों के साथ संयोजनों का परीक्षण करने का रास्ता खुल गया है।
परामर्श प्राप्त पेशेवर इस बात पर जोर देते हैं कि फिलहाल, कोई प्रत्यक्ष क्षति दर्ज नहीं की गई है Apple पॉडकास्ट के इस व्यवहार ने उपयोगकर्ताओं को चिंतित कर दिया है। दूसरे शब्दों में, आपके iPhone या Mac पर कोई असामान्य एपिसोड चलने का मतलब यह नहीं है कि आपका डिवाइस हैक हो गया है। हालाँकि, आपकी अनुमति के बिना इस प्लेबैक की अनुमति देने वाली तकनीकी प्रक्रिया एक संभावित हमले का कारण बन सकती है।
मुख्य बात यह है कि इस मार्ग का उपयोग तैयार लिंक वितरित करें या भविष्य की कमज़ोरियों का फ़ायदा उठाने के लिए ख़ास तौर पर डिज़ाइन की गई सामग्री। दूसरे शब्दों में, आज भले ही यह महज़ एक डर लग रहा हो, लेकिन कल यह कई कमज़ोरियों को एक साथ जोड़कर एक असली हमला करने के लिए ज़रूरी चीज़ बन सकता है—ऐसा कुछ जिसे साइबर सुरक्षा के क्षेत्र में कभी भी हल्के में नहीं लिया जाता।
समस्या का स्रोत: बिना पूछे Apple पॉडकास्ट खोलने वाले लिंक
विश्लेषण से पता चलता है कि असामान्य व्यवहार प्रणाली के वैध कार्य पर आधारित है: किसी लिंक से पॉडकास्ट ऐप खोलेंअन्य लिंक की तरह जो सीधे ऐप लॉन्च करते हैं (उदाहरण के लिए, किसी वेबसाइट से मैप्स या ऐप स्टोर खोलना), ऐप्पल पॉडकास्ट कुछ प्रकार के यूआरएल मिलने पर स्वचालित रूप से लॉन्च हो सकता है।
समस्या यह है कि, जैसा कि शोधकर्ता पैट्रिक वार्डले ने दर्शाया है, किसी तैयार वेबसाइट पर जाएँ यह ऐप्पल पॉडकास्ट खोलने और हमलावर द्वारा चुने गए प्रोग्राम को लोड करने के लिए पर्याप्त है। इसके अलावा, macOS पर, यह सिस्टम द्वारा उपयोगकर्ता की पुष्टि मांगे बिना ही हो जाता है, जबकि ज़ूम जैसे अन्य बाहरी एप्लिकेशन अनुमति मांगने वाला एक डायलॉग बॉक्स प्रदर्शित करते हैं।
उपचार में इस अंतर का अर्थ है कि, व्यवहार में, एक वेबसाइट पॉडकास्ट खोलने के लिए बाध्य कर सकती है और किसी एपिसोड का प्लेबैक, "मेरा मैक अपने आप सब कुछ कर लेता है" जैसी भावना पैदा करता है, जैसा कि कई उपयोगकर्ता बताते हैं। भले ही सामग्री स्वयं कोई खतरनाक क्रिया न करती हो, फिर भी यह तथ्य कि ऐप बिना मानवीय हस्तक्षेप के खुलता है, सुरक्षा की दृष्टि से जोखिम भरा व्यवहार माना जाता है।
स्पेन और शेष यूरोप में व्यापक रूप से फैले ऐप्पल के पारिस्थितिकी तंत्र में, इस प्रकार की भेद्यता का संभावित रूप से व्यापक प्रभाव पड़ता है। कंपनी वर्षों से सिस्टम-स्तरीय सुरक्षा सुविधाएँ शामिल कर रही है, जैसे कि iMessage में स्पैम फ़िल्टर और कैलेंडर में संदिग्ध आमंत्रणों के विरुद्ध नियम। हमलावर नए मौके तलाशते रहते हैं उन सेवाओं में प्रवेश जो डिफ़ॉल्ट रूप से सुरक्षित मानी जाती हैं।
वास्तव में, पॉडकास्ट का मामला एप्पल प्लेटफॉर्म पर स्पैम या दुर्व्यवहार अभियानों से जुड़े अन्य हालिया प्रकरणों की याद दिलाता है, जैसे कि कैलेंडर में बड़े पैमाने पर निमंत्रण का फिर से आना या आईमैसेज में अवांछित संदेश भेजना। प्रत्येक नए इंटरैक्शन वेक्टर उपयोगकर्ता दुर्भावनापूर्ण व्यक्तियों के लिए एक अवसर बन जाता है, और यहां ऐसा लगता है कि उन्हें एक और अवसर मिल गया है।
क्या यह स्पेन और यूरोप के उपयोगकर्ताओं के लिए वास्तविक खतरा है?
जो लोग रोज़ाना आईफोन या मैक इस्तेमाल करते हैं, उनके लिए सबसे बड़ा सवाल यही है कि क्या उन्हें इस मुद्दे पर गंभीरता से चिंतित होना चाहिए। इस मामले की जाँच करने वाले विशेषज्ञ इस बात पर सहमत हैं कि, तत्काल जोखिम कम हैइस बात का कोई सबूत नहीं है कि केवल एप्पल पॉडकास्ट के इस व्यवहार के कारण डेटा चोरी हो रहा है, मैलवेयर इंस्टॉल हो रहा है, या डिवाइस को दूर से नियंत्रित किया जा रहा है।
जो अस्तित्व में है वह है संभावित मध्यम अवधि जोखिमअगर किसी को ऐप या ऑपरेटिंग सिस्टम में कोई अतिरिक्त कमज़ोरी नज़र आती है, तो वे इसे बिना सहमति के वेब से पॉडकास्ट खोलने की इस क्षमता के साथ जोड़ सकते हैं और फिर, एक ज़्यादा व्यापक हमला कर सकते हैं। यही वजह है कि इस मुद्दे ने विशेष मीडिया और macOS सुरक्षा शोधकर्ताओं के बीच इतना ध्यान आकर्षित किया है।
यूरोप में, जहाँ कानूनी ढांचा विशेष रूप से सख्त है गोपनीयता और डेटा सुरक्षा के संदर्भ में, इस तरह की स्थितियाँ बिग टेक पर नियामक दबाव भी डालती हैं। हालाँकि यह एक गंभीर उल्लंघन से ज़्यादा एक स्पैम समस्या है, लेकिन यह तथ्य कि एक सिस्टम ऐप का इस्तेमाल बिना किसी स्पष्ट निगरानी के संदिग्ध लिंक फैलाने के लिए किया जा सकता है, सुरक्षा और नियंत्रण पर ऐप्पल के सामान्य विमर्श के साथ बिल्कुल मेल नहीं खाता।
यह भी ध्यान देने योग्य है कि यह व्यवहार यह iOS और macOS को प्रभावित करता हैयानी, iPhones, iPads और Mac कंप्यूटर्स पर। ज़्यादातर यूरोपीय उपयोगकर्ता ब्रांड के इकोसिस्टम में कई डिवाइस एक साथ इस्तेमाल करते हैं, जिससे इस बात की संभावना बढ़ जाती है कि ये अनपेक्षित प्लेबैक एपिसोड अलग-अलग डिवाइस पर दिखाई देंगे।
जब तक कोई आधिकारिक अपडेट या विस्तृत स्पष्टीकरण न आ जाए, विशेषज्ञ सलाह देते हैं आराम मत करो, लेकिन घबराओ भी मत।हम एक संभावित आक्रमण वेक्टर से निपट रहे हैं, न कि एक पूर्णतः विकसित शोषण से, जो उपयोगकर्ता डेटा को बड़े पैमाने पर खतरे में डाल रहा है।
व्यावहारिक सुझाव: अगर आप Apple पॉडकास्ट इस्तेमाल करते हैं तो आप क्या कर सकते हैं
अगर आपने Apple पॉडकास्ट को अपने आप खुलते हुए या अपनी लाइब्रेरी में अजीबोगरीब एपिसोड आते हुए देखा है, तो जोखिम कम करने के लिए आप कुछ आसान कदम उठा सकते हैं। पहला और सबसे स्पष्ट तरीका है उन लिंक पर क्लिक करने से बचें जिन्हें आप नहीं पहचानते। एप्लिकेशन के भीतर ही, विशेष रूप से वे जिनके शीर्षक अजीब हैं या जो कोड जैसे दिखते हैं।
ऑपरेटिंग सिस्टम और ऐप्स दोनों को अद्यतन रखना भी आवश्यक है। iOS, iPadOS और macOS अपडेट करें नवीनतम स्थिर संस्करण में अपग्रेड करने से यह संभावना काफी कम हो जाती है कि हमलावर इस प्रकार के असामान्य व्यवहार को अन्य कमजोरियों के साथ जोड़ सकता है जो पहले से ही ज्ञात हैं और जिन्हें नवीनतम पैच में ठीक कर दिया गया है।
जो लोग एप्पल पॉडकास्ट का उपयोग बहुत कम करते हैं या पॉडकास्ट अक्सर नहीं सुनते हैं, उनके लिए और भी सीधा विकल्प है ऐप को अस्थायी रूप से अनइंस्टॉल करें जबकि एप्पल इस समस्या की जांच कर रहा है और उसे ठीक कर रहा है, वर्तमान डिवाइसों पर सिस्टम ऐप्स को बिना किसी और जटिलता के ऐप स्टोर से हटाया और पुनः इंस्टॉल किया जा सकता है, इसलिए कोई दीर्घकालिक कार्यक्षमता नहीं खोई जाती है।
यदि आप पॉडकास्ट पर निर्भर हुए बिना अपने पसंदीदा शो सुनना जारी रखना चाहते हैं, तो आप इसका उपयोग कर सकते हैं... Spotify या YouTubeजहाँ ज़्यादातर सामान्य सामग्री भी उपलब्ध है। यह हर किसी के लिए कोई निश्चित या ज़रूरी समाधान नहीं है, लेकिन यह उन लोगों के लिए एक अच्छा समाधान हो सकता है जो ज़्यादा स्पष्टता आने तक सुरक्षित रहना पसंद करते हैं।
अंत में, यह सलाह दी जाती है असामान्य व्यवहार के प्रति सतर्क रहें सामान्य रूप से एप्पल ऐप्स में: अप्रत्याशित रूप से खुलना, अजीब सूचनाएं, ऐसी सदस्यताएं जिन्हें सक्रिय करना आपको याद नहीं है, आदि। इनमें से अधिकांश संकेत आमतौर पर केवल परेशान करने वाले या स्पैम प्रयास होते हैं, लेकिन सतर्क रवैया बनाए रखने से किसी भी अधिक गंभीर समस्या का जल्द पता लगाने में मदद मिलती है।
Apple की ओर से आधिकारिक प्रतिक्रिया के अभाव में, Apple पॉडकास्ट मामला इस बात का एक और उदाहरण बन गया है कि कैसे यहां तक कि सबसे स्थापित अनुप्रयोग भी अप्रत्याशित व्यवहार प्रदर्शित कर सकते हैं। हालाँकि ये समस्याएँ विनाशकारी नहीं हैं, फिर भी सावधानी बरतने की ज़रूरत है। स्वचालित रूप से खुलने वाले एपिसोड, क्रॉस-साइट स्क्रिप्टिंग (XSS) के प्रयास के लिंक, और बिना अनुमति के वेब से ऐप लॉन्च करने की क्षमता के बीच, आम धारणा यही है कि इसमें सुधार की गुंजाइश है और कंपनी को इस संभावित कमज़ोरी को दूर करने के लिए कदम उठाने होंगे, इससे पहले कि कोई इसका वास्तविक फायदा उठा सके।
