Perché le app Android appena installate sono in grado di leggere OTP da SMS senza richiedere l'autorizzazione per i messaggi?

Google ha iniziato a rivedere e limitare le app, l'accesso di SMS, Call logs dati sul dispositivo su un caso per caso. Si controllano le eccezioni per l'uso dei gruppi di autorizzazione SMS o Call Log.

Considerando questo, gli sviluppatori di app hanno iniziato a integrare SMS Retriever API per recuperare automaticamente l'OTP dagli SMS senza richiedere le autorizzazioni all'utente. L'API fornisce l'accesso a un solo SMS che deve ancora essere ricevuto. Questo aumenta la sicurezza e riduce l'abuso del modello di autorizzazione in Android.

Richiedere l'accesso ai dati SMS solo per leggere il messaggio OTP non è necessario e c'erano molte applicazioni che non permettono nemmeno di inserire manualmente l'OTP se si nega il permesso SMS. Questo era irritante per l'utente finale. L'altro caso è che l'applicazione aveva accesso ai messaggi personali degli utenti per tutto il tempo quando lo scopo era per l'uso OTP una tantum.

Se non vi è ancora chiaro, potete leggere Perché sono state introdotte le autorizzazioni e come se ne sta abusando - Android Runtime Permissions, Recent Policy Changes and Security Vulnerabilities.