Вы вводите код из SMS, подтверждаете платёж и думаете, что всё в порядке. А в это время одно из приложений на вашем телефоне уже прочитало этот код раньше вас. Сохранило. Передало. И вы об этом не узнаете никогда — если не проверите прямо сейчас.
Это не теория заговора. Это разрешение, которое вы сами дали — когда нажали «Принять» при установке.
Почему это работает именно так
Android устроен иначе, чем многие думают. Приложение, получившее доступ к SMS, видит все сообщения — не только те, которые вы ему показываете. Банковский код, пришедший от Сбера в 14:32. Код подтверждения от Госуслуг. Одноразовый пароль от личного кабинета страховой. Всё это проходит через одну трубу — и любое приложение с нужным разрешением сидит рядом и слушает.
Разработчики знают об этой уязвимости давно. Google частично закрыл её в Android 10 и 11, ограничив список приложений, которым можно читать SMS. Но «частично» — ключевое слово. Приложения, установленные до обновления, нередко сохраняют старые разрешения. А некоторые категории программ по-прежнему получают этот доступ без вопросов.
И вот что важно: среди виновников чаще всего оказываются не подозрительные APK с левых сайтов. Это вполне обычные приложения, которые стоят у миллионов людей.
Приложение 1. Менеджеры задач и «умные» клавиатуры
Сторонние клавиатуры — один из самых массовых каналов утечки. SwiftKey, Gboard, Fleksy и десятки их аналогов запрашивают доступ к SMS под предлогом «автозаполнения кодов». Функция удобная: вы получаете SMS с кодом, и клавиатура сама предлагает его вставить. Но для этого клавиатура читает входящие сообщения в фоне постоянно.
Gboard от Google в этом плане безопаснее — компания официально заявила, что данные не покидают устройство. Но сторонние клавиатуры с такими же функциями и куда меньшей прозрачностью стоят у огромного числа людей. Если у вас на телефоне клавиатура не от производителя устройства и не Gboard — это первое, что стоит проверить.
Что делать: Настройки → Приложения → [название клавиатуры] → Разрешения → убрать доступ к SMS. Функция автозаполнения чуть пострадает, зато коды останутся при вас.
Приложение 2. Программы для резервного копирования
SMS-бэкапы — полезная штука. Особенно если вы меняете телефон и хотите сохранить историю переписки. Приложения вроде SMS Backup & Restore, Super Backup или их многочисленных аналогов делают именно это: копируют все SMS в облако или на карту памяти.
Проблема в двух моментах. Первый: эти приложения работают в фоне и читают SMS постоянно, а не только когда вы запускаете бэкап вручную. Второй: часть из них хранит копии на серверах разработчика, а не только локально. И если разработчик находится в юрисдикции, где нет строгих законов о защите данных — ваши коды там тоже лежат.
Были случаи, когда такие базы утекали. Не громкие скандалы, не новости на первых полосах — просто тихая утечка, о которой узнавали постфактум.
Что делать: Проверьте, стоит ли у вас хоть одно подобное приложение. Если стоит и вы давно им не пользовались — удалите. Если нужен бэкап, делайте его вручную и только локально.
Приложение 3. Агрегаторы уведомлений и «умные часы»
Приложения для синхронизации уведомлений с умными часами, фитнес-браслетами и планшетами получают доступ к уведомлениям — а уведомление от банка содержит код целиком. Mi Fit, Wear OS, приложения Amazfit, Huawei Health и множество сторонних утилит типа «Зеркало экрана» работают именно по этой схеме.
Здесь механизм немного другой: они не читают SMS напрямую, а перехватывают уведомления. Но результат тот же: код из банковского сообщения уходит в приложение, которое передаёт его на другое устройство. И где он хранится дальше — большой вопрос.
Особенно это касается дешёвых браслетов и часов китайского производства без известного бренда. Их приложения часто просят избыточные разрешения, а политика конфиденциальности написана так, что её не разберёт даже юрист.
Что делать: Настройки → Уведомления → Доступ к уведомлениям. Посмотрите, какие приложения там числятся. Оставьте только те, которым этот доступ действительно нужен и которым вы доверяете.
Приложение 4. Автодозвонщики, антиспам и определители номера
Приложения типа «Кто звонил», «Антиспам», определители номера — Яндекс, Truecaller, Kaspersky Who Calls и другие. Они читают входящие звонки, это понятно. Но многие из них заодно запрашивают доступ к SMS «для фильтрации спама».
Truecaller, например, прямо указывает в политике конфиденциальности, что собирает данные о SMS-активности. Не тексты сообщений — но метаданные: от кого, когда, насколько часто. Для банковских уведомлений это уже немало: по частоте и источнику можно понять, в каких банках у вас счета.
Если у вас стоит бесплатный определитель номера — задайте себе вопрос: на чём он зарабатывает? Ответ, как правило, на данных.
Что делать: Оставьте один проверенный антиспам с минимальными разрешениями. Доступ к SMS для определителя номера в большинстве случаев избыточен — его можно отозвать без потери основной функции.
Кстати, именно такие разборы — о том, как работают реальные угрозы и как от них защититься без лишней паники — выходят в MAX-канале Pochinka. Там без воды: только конкретные схемы, проверки и инструкции. Подписывайтесь, если хотите узнавать о подобном раньше других.
Приложение 5. Старые мессенджеры и забытые утилиты
Это, пожалуй, самая неочевидная категория. У большинства людей на телефоне стоит от 60 до 120 приложений. Часть из них не открывалась годами. Но они работают в фоне, имеют разрешения, которые были выданы три года назад — и никто их не пересматривал.
Старая версия Viber, которую вы не используете с 2021 года. Приложение банка, который вы закрыли. Утилита для сканирования QR-кодов, скачанная один раз ради купона. Все они могут иметь доступ к SMS, выданный давным-давно.
Разработчики таких приложений могут меняться: приложение продаётся новому владельцу вместе с аудиторией и разрешениями. Были задокументированные случаи, когда популярные утилиты покупались ради именно этого.
Что делать: Настройки → Приложения → отсортируйте по дате последнего использования. Всё, что не открывалось больше трёх месяцев и не является системным — удалите. Это занимает буквально пять минут.
Как проверить все разрешения за 2 минуты: пошаговая инструкция
На Android это делается быстро и без технических знаний.
Шаг 1. Откройте «Настройки» → «Приложения» (или «Управление приложениями»).
Шаг 2. Нажмите на три точки в правом верхнем углу → «Разрешения приложений» или найдите раздел «Диспетчер разрешений».
Шаг 3. Выберите «SMS». Перед вами список всех приложений, которые имеют доступ к вашим сообщениям.
Шаг 4. Пройдитесь по каждому. Задайте себе один вопрос: этому приложению действительно нужно читать мои SMS? Если ответ «не знаю» или «наверное нет» — отзовите разрешение.
Шаг 5. Повторите то же самое для раздела «Уведомления» → «Доступ к уведомлениям».
Весь процесс занимает от двух до пяти минут. Это не паранойя — это элементарная цифровая гигиена, которую стоит делать раз в несколько месяцев. И, кстати, проверка разрешений — далеко не единственная настройка, которая помогает защититься от мошенников. Есть ещё одна функция Android, включается буквально за пару минут и способна серьёзно усложнить жизнь злоумышленникам. Подробно о ней рассказывал в статье «Одна настройка смартфона за 3 минуты и мошенники останутся ни с чем».
Один важный момент напоследок
Банки не несут ответственности, если вы сами предоставили доступ к своим SMS сторонним приложениям. Это прописано в пользовательских соглашениях, которые никто не читает. Если мошенники получили код через приложение на вашем телефоне — с точки зрения банка вы сами подтвердили операцию.
Именно поэтому проверка разрешений — это не «совет для параноиков», а практическая защита ваших денег. Схемы с перехватом кодов реально работают, реально используются прямо сейчас и затрагивают обычных людей, а не только тех, кто «что-то скачал не то».
Два часа назад кто-то потерял деньги именно так. Не потому что был неосторожен — а потому что не знал, где проверить.
Теперь вы знаете.
А у вас на телефоне нашлись приложения с лишним доступом к SMS? Напишите в комментариях — сколько было «лишних» и какие именно. Интересно узнать, что чаще всего встречается у читателей: это поможет понять, какие приложения стоит разобрать подробнее в следующем материале.
Статья основана на анализе реальных разрешений Android и задокументированных случаев утечек данных.