Les chercheurs de Checkmarx ont identifié une vulnérabilité dans Android qui pourrait permettre aux attaquants d’ obtenir des photos, des vidéos, de l’audio et de la localisation sans que les utilisateurs en soient conscients . L'exploit est lié en particulier aux assistants vocaux de Google et de Samsung et aurait, selon les deux sociétés, déjà été résolu l'été dernier .
Plus en détail, Google Assistant et Bixby contenaient une faille qui permettait à une application - même apparemment aussi anodine que les prévisions météorologiques - d’envoyer du code lié à une entrée vocale pour accéder à toutes les fonctionnalités des assistants. Celles-ci disposent en fait d'un système d'autorisation spécial qui leur permet de prendre des photos (avec une géolocalisation relative), de capturer une vidéo et d'enregistrer de l'audio sans que l'utilisateur ait à donner son consentement .

Ainsi, l'application malveillante, une fois installée, pourrait envoyer une "demande vocale" en arrière-plan pour commencer à espionner et demander uniquement la permission d'accéder à l'espace de stockage (pour couvrir ses traces). En particulier sur les Pixels, il était possible d'exploiter également les capteurs de proximité afin de comprendre si l'utilisateur se trouvait à proximité de l'appareil. Les chercheurs ont en fait, avec ce système, réussi à enregistrer de l’audio même lors d’un appel téléphonique. Les chercheurs ont rapidement averti Google et Samsung que les vulnérabilités avaient été identifiées. Les deux ont déclaré avoir résolu le problème avec un correctif de sécurité publié le même mois.