Компанията създава проект и получава ID на изпращача. Компанията създава приложение, записва неговия ID на изпращача и поставя приложението в магазина.
Нападателят прави обратен инженеринг на приложението и извлича както идентификатора на изпращача, така и интерфейса на сървъра, използван за получаване на регистрационни идентификатори на GCM.
Нападателят създава свое собствено приложение, включва идентификатора на изпращача на компанията и интерфейса за регистрация на сървъра, поставя приложението в магазина. Приложението за атака основно имитира истинското приложение на компанията, що се отнася до GCM: то се регистрира, за да получава съобщения от ID на изпращача на компанията и след това изпраща своя регистрационен идентификатор за GCM на сървърите на компанията, точно както прави „истинското“ приложение.
Сега Компанията иска да излъчи известна информация до всички копия на приложението си. Може би е напомняне, че има налична актуализация. Има ли някакъв начин да се разграничи „приложението за атака“ (което се регистрира точно като истинското) от „реалните“ версии на приложението на компанията?