Por que os aplicativos Android recentemente instalados são capazes de ler OTP a partir de SMS sem solicitar permissão para mensagens?

Google começou a rever e restringir os aplicativos, o acesso de SMS, dados de registro de chamadas no dispositivo em uma base caso a caso. Você verifica as exceções para o Uso de SMS ou grupos de permissão de Registro de Chamadas.

Considerando isso, os desenvolvedores do aplicativo começaram a integrar o SMS Retriever API para recuperar automaticamente o OTP a partir do SMS sem solicitar ao usuário permissões. A API fornece acesso a apenas um SMS que ainda não foi recebido. Isso aumenta a segurança e reduz o mau uso do modelo de permissões no Android.

Requerir acesso aos dados de SMS apenas para a leitura da mensagem OTP é desnecessário e há muitos aplicativos que não permitem nem mesmo a entrada manual do OTP se você negar a permissão do SMS. Isto era irritante para o usuário final. O outro caso é que o aplicativo estava tendo acesso às mensagens pessoais dos usuários o tempo todo quando o objetivo era para uso de OTP ocasional.

Se você ainda não está claro, você pode ler Por que as permissões são introduzidas e como ele está sendo abusado - Android Runtime Permissions, Recent Policy Changes and Security Vulnerabilities.