通过OTP共享应用哈希在应用安全方面是否有任何缺点

Question

在Android应用中实施OTP进行用户验证时，我正在使用 SMS检索器API ，以绕过SMS读取权限。在SMS Retriever API中，我们需要一种特殊的格式，即消息开头的 <＃> 和消息结尾的 App Hash 。

1. 正在以这种安全方式/良好做法共享应用程序哈希，还是对应用程序安全性构成任何威胁。
2. 无论如何，我们可以在用户端收到此 <＃> 和应用哈希时将其隐藏。尝试 \ u200b \ u200b 发送此邮件，而不是发送 <＃> ，但不起作用

Answer 1

根据SMS Retriever API文档

  

当用户的设备收到SMS消息时，Google Play服务会使用应用哈希值来确定该消息是针对您的应用的，并通过SMS检索器API将消息文本提供给您的应用。

很明显，Google Play服务使用了它，因此我认为不存在任何安全隐患。