W jaki sposób aplikacja odczytuje SMS OTP bez zgody SMS?


11

Niedawno zainstalowałem aplikację na Androida ze Sklepu Play. Rejestrując się w nim, zdałem sobie sprawę, że był w stanie odczytać moją wiadomość OTP, nawet nie pytając o zgodę na przeczytanie wiadomości.

Mam AOSP Extended 5.8 z sierpniową poprawką bezpieczeństwa. To niestandardowy ROM oparty na systemie Android Oreo 8.1.

Odpowiedzi:


15

Weryfikacja przez OTP wykorzystuje inny interfejs API, który nie wymaga pozwolenia na odczyt SMS-a. Możesz przeczytać więcej tutaj Wykonaj weryfikację SMS na serwerze

Dlatego aplikacja nie czyta SMS-ów, ale używa osobnego kanału do czytania specjalnie sformatowanych wiadomości tekstowych

Dowiedziałem się o tym, gdy moduł Xposed do blokowania uprawnień nie działał zgodnie z oczekiwaniami (podobny przypadek), a programista wyjaśnił przyczynę


Jak zdecydowano, która aplikacja może korzystać z interfejsu API, aby odczytać, który tekst? Musi być coś, co uniemożliwia aplikacji X odczytanie tekstu aplikacji Y za pomocą interfejsów API.
Ankk98

1
Ponadto, jeśli czytasz połączoną API mówi o hash i kodowania, co oznacza tylko autoryzowanym aplikacja może czytać
beeshyams
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.