Het gaat om een experiment van het Duitse Security Research Labs. Het team ontwikkelde acht 'apps' voor de spraakassistent: vier 'skills' voor Amazon's Alexa en vier 'actions' voor Google Home. Allen moesten ze worden goedgekeurd door Google en Amazon, net zoals bij een app store.

Zeven van de acht apps deden zich voor als toepassingen waarmee je je horoscoop kan opvragen en één ervan was een nummergenerator. Allemaal werden ze goedgekeurd.

Op de achtergrond misbruikten de apps echter zwakke plekken van Google Home en Alexa om gebruikers te misleiden. Zo krijgt een gebruiker na het opvragen van zijn of haar horoscoop wel degelijk informatie over het sterrenbeeld, gevolgd door een 'goodbye' en het deuntje van Google Home. Dat doet de gebruiker vermoeden dat de actie is afgelopen, maar dat is niet het geval. Alles wat nadien gedurende een achttal seconden wordt gezegd, wordt doorgestuurd naar de app-ontwikkelaar.

De phishing-app heeft een licht andere aanpak. Hier krijg je als gebruiker bij het opvragen van je horoscoop te horen dat de functie niet beschikbaar is in je land. De app laat nadien een lange stilte vallen. Daardoor lijkt het dat de toepassing is gestopt. Na een minuut doet de app echter de stem van de spraakassistent na om zogezegd een update aan te kondigen. Om die te installeren moet de gebruiker zijn of haar wachtwoord inspreken.

Dergelijke updates vereisten nooit dat je je wachtwoord luidop tegen een spraakassistent zegt. Maar Security Research Labs wijst er op dat veel gebruikers dat waarschijnlijk niet weten en zo alsnog hun wachtwoord opgeven.

Security Reseach Labs heeft haar bevindingen gemeld aan Google en Amazon. Die hebben de apps in kwestie verwijderd en hebben aangegeven dat ze hun goedkeuringsproces zullen aanpassen om gelijkaardige aanvallen in de toekomst te voorkomen.