Eu instalei recentemente um aplicativo Android da Play Store. Ao me registrar, percebi que era capaz de ler minha mensagem do OTP sem sequer pedir minha permissão para ler a mensagem.
Eu tenho o AOSP Extended 5.8 com o patch de segurança de agosto. É uma ROM personalizada baseada no Android Oreo 8.1.