香港中文大學的研究人員在預印本網站上發表論文(pdf), 介紹了一種新穎的權限繞過攻擊方法:google語音搜尋攻擊。攻擊者可利用一個零權限的android應用voicemployer,前台激活作業系統 内置的語音助手子產品google voice search,背景播放預先準備好的音頻檔案,語音搜尋能識别語音指令執行相應操作。借助這一機制,攻擊者不需要任何權限就可以撥打任意電話号碼,僞造短 信/電子郵件,通路私人資訊,傳輸敏感資料,實作遠端控制。研究人員認為,在理論上,任何内置google services framework的android裝置都可能受到這一攻擊的影響。
![Android項目的依賴關系解析[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)