W jaki sposób aplikacja odczytuje SMS OTP bez zgody SMS?

11

Niedawno zainstalowałem aplikację na Androida ze Sklepu Play. Rejestrując się w nim, zdałem sobie sprawę, że był w stanie odczytać moją wiadomość OTP, nawet nie pytając o zgodę na przeczytanie wiadomości.

Mam AOSP Extended 5.8 z sierpniową poprawką bezpieczeństwa. To niestandardowy ROM oparty na systemie Android Oreo 8.1.

sms security permissions privacy Ankk98
źródło

Odpowiedzi:

15

Weryfikacja przez OTP wykorzystuje inny interfejs API, który nie wymaga pozwolenia na odczyt SMS-a. Możesz przeczytać więcej tutaj Wykonaj weryfikację SMS na serwerze

Dlatego aplikacja nie czyta SMS-ów, ale używa osobnego kanału do czytania specjalnie sformatowanych wiadomości tekstowych

Dowiedziałem się o tym, gdy moduł Xposed do blokowania uprawnień nie działał zgodnie z oczekiwaniami (podobny przypadek), a programista wyjaśnił przyczynę

beeshyams
źródło
Jak zdecydowano, która aplikacja może korzystać z interfejsu API, aby odczytać, który tekst? Musi być coś, co uniemożliwia aplikacji X odczytanie tekstu aplikacji Y za pomocą interfejsów API.
Ankk98
1
Ponadto, jeśli czytasz połączoną API mówi o hash i kodowania, co oznacza tylko autoryzowanym aplikacja może czytać
beeshyams