Wystarczy zachęcić użytkownika do zainstalowania małej aplikacji, która nie wymaga żadnych uprawnień, a następnie uruchomić ją gdy właściciel nic nie usłyszy (np. gdy śpi w nocy) inicjując jednocześnie wspomniany system sterowania głosowego. Program odtworzy nagrania (lub wykorzysta wbudowany silnik syntezy mowy) wywołujące konkretne opcje, np. wysyłanie SMSów, dzwonienie, etc. Jeśli natomiast dodać do programu uprawnienia, np. tylko do odczytania kontaktów, można podyktować całą książkę adresową i wysłać ją na wskazany przez cyberprzestępców adres mailowy czy numer telefonu.

 

Atak taki jest możliwy, ponieważ program Google Search (a przynajmniej jego niektóre wersje) pozwala innym aplikacjom na inicjowanie rozpoznawania głosowych poleceń nawet przy włączonym ekranie blokady. Stąd można wydobyć osobiste dane wtedy, gdy użytkownik śpi lub nie jest przy telefonie. Tam gdzie nie jest to możliwe atak staje się praktycznie niemożliwy do wykonania, ponieważ telefon musi być uruchomiony i odblokowany, a wtedy użytkownik raczej zauważy dziwne zachowanie.

Wyjątkowo my jesteśmy w większości wypadków na tego typu atak odporni, ponieważ system sterowania głosem od Google nie działa w języku polskim. Przestępcy musieli by więc dodatkowo nakłonić w jakiś sposób użytkownika do zmiany domyślnych ustawień.