Android spöksms OTP

Med Android 4.4 (KitKat) och 5.0/5.1 (Lollipop) kan användare uppleva att SMS-OTP:ar tas emot vid konstiga tidpunkter, utan att någon inloggning har initierats. Händelserna syns inte i Mideye-servern eller i de centrala systemloggarna. Det rör sig faktiskt om gamla flash/pop-up-SMS som cachats i telefonens operativsystem och dyker upp igen vid till synes slumpmässiga tidpunkter, ofta timmar eller dagar efter det första mottagandet.

När en OTP tas emot som ett flash/pop-up-SMS får användaren två alternativ: Avbryt eller Spara. Om inget av dessa väljs, och användaren i stället trycker på Hem-knappen, försvinner meddelandet men ligger kvar i cachen i operativsystemet. Det kan då dyka upp igen senare. Om telefonen är konfigurerad att använda en meddelandeapp, t.ex. Hangouts, kan OTP-meddelandet automatiskt konverteras från flash/pop-up till ett vanligt inkorgs-SMS. Det får då en tidsstämpel som motsvarar tiden för återuppdykandet, inte den ursprungliga mottagningstiden. Därför stämmer inte tidsstämpeln överens med serverloggar och centrala systemloggar för OTP-leverans.