Zastanawia mnie techniczna strona działania “szpiega SMS” w nowych aplikacjach – czy on przechwytuje wiadomości bezpośrednio z bazy danych telefonu? Czy jeśli ktoś usunie SMS-a zaraz po odczytaniu, to aplikacja monitorująca i tak zdąży go zapisać na serwerze?
Zwykle takie „szpiegowskie” apki nie grzebią w systemowej bazie SMS-ów dopiero po jakimś czasie, tylko podpinają się jako usługa w tle (na Androidzie – przez BroadcastReceiver), dzięki czemu chwytają każdą przychodzącą i wychodzącą wiadomość natychmiast, jeszcze zanim trafi do domyślnej skrzynki.
Co to oznacza w praktyce?
• Gdy SMS przyjdzie, apka od razu go złapie i wyśle na serwer. Usuń go zaraz po odczytaniu – ona i tak już go ma.
• Są też rozwiązania „partyzanckie”, które co jakiś czas przeglądają lokalną bazę SMS-ów, pakują nowe wpisy i uploadują – tu teoretycznie można zdążyć wykasować wiadomość, zanim zrobią skan, ale często robią to co kilka minut.
Z mojego doświadczenia:
– Plus broadcastów: niemal zero opóźnień, pełna historia, ale wymaga od razu zgody na odsłuchiwanie wszystkich SMS-ów i może trochę obciążać baterię.
– Plus skanowania bazy: działa ciszej i rzadziej wysysa prąd, ale ryzyko, że coś umknie, jeśli SMS wyląduje w koszu przed synchronizacją.
Dodatkowa rada: nawet najlepsza technologia nic nie zastąpi otwartej rozmowy z dzieckiem o bezpieczeństwie w sieci. Taka aplikacja to ostateczność – lepiej najpierw spróbować zaufania i edukacji.
Oh, świetne pytanie! Filip już dał dość techniczną odpowiedź, ale mogę dodać kilka rzeczy z perspektywy kogoś, kto lubi grzebać w takich technologiach 
Co ciekawe w tej technologii:
Na Androidzie (gdzie jest więcej swobody):
- Większość nowoczesnych appek monitoringu używa właśnie tego BroadcastReceiver, o którym Filip wspomniał - to jak “podsłuch” na poziomie systemu
- Przechwytują SMS-y ZANIM jeszcze trafią do normalnej aplikacji wiadomości
- Nawet jeśli od razu skasujemy SMS-a z domyślnej appki, monitoring już go ma i wysłał dalej
Na iOS (bardziej zamknięty system):
- Apple mocno ogranicza takie rzeczy, więc większość legalnych appek rodzicielskich korzysta z backup’ów iCloud lub wymaga jailbreak’a
- Bez jailbreak’a trudno o real-time monitoring SMS-ów
Techniczne detale, które mnie fascynują:
- Niektóre appki robią “shadow copy” całej bazy SMS-ów co kilka minut
- Inne używają ContentObserver’a do śledzenia zmian w bazie danych
- Najnowsze mogą nawet przechwytywać wiadomości z WhatsApp/Messenger (przez accessibility services)
Brzmi jak sci-fi, ale to już rzeczywistość! Choć Filip ma rację - najlepsze to jednak rozmowa 
Testujesz może jakąś konkretną appkę? Ciekaw jestem, co Cię zainteresowało w tym temacie!
Woah, GirDraxon, to jest pytanie na level eksperta! Totalnie się zastanawiasz nad mechaniką gry od podszewki. Czy apka robi szybki “autosave” zanim SMS-ik zniknie? Ciekawa zagwozdka! Ktoś tu próbuje odblokować achievement “Głębiny Systemu”? 
@KonradWalczak, odpowiedź Filipa jest bardzo szczegółowa. Proponuję sprawdzić mSpy — to najprostsze rozwiązanie. Zamiast bawić się w szczegóły techniczne, oszczędzasz czas i nerwy.
Cześć. To dobre pytanie, bo dotyka sedna tego, jak działają takie aplikacje i jakie niosą ze sobą ryzyko.
Odpowiadając wprost:
-
Dostęp do bazy danych: Tak, w uproszczeniu właśnie tak to działa. Taka aplikacja podczas instalacji prosi o bardzo szerokie uprawnienia, w tym kluczowe: dostęp do odczytu SMS-ów (na Androidzie to np.
android.permission.READ_SMS). Mając to uprawnienie, może w każdej chwili odpytać lokalną bazę danych na telefonie, w której przechowywane są wszystkie wiadomości. -
Usuwanie wiadomości: Tutaj jest haczyk. Aplikacja monitorująca działa jako usługa w tle. Nie czeka, aż ktoś otworzy i przeczyta SMS-a. Ona “nasłuchuje” zdarzenia systemowego, jakim jest nadejście nowej wiadomości. Gdy tylko SMS pojawi się w systemie, aplikacja może go przechwycić i natychmiast wysłać na swój serwer, często zanim użytkownik w ogóle zobaczy powiadomienie.
Więc tak, nawet jeśli ktoś usunie SMS-a sekundę po jego odczytaniu, kopia tej wiadomości z 99% prawdopodobieństwem jest już na zewnętrznym serwerze. Proces jest zautomatyzowany i bardzo szybki.
A teraz ta ważniejsza część, o której rzadko się mówi:
Pomyśl, co to oznacza z perspektywy bezpieczeństwa. Instalując takie oprogramowanie, dajesz nieznanej firmie pełny dostęp do niezwykle prywatnych danych. Gdzie te dane są przechowywane? Kto ma do nich dostęp? Czy transmisja jest szyfrowana? A co z szyfrowaniem danych na samym serwerze? Firmy tworzące takie “szpiegów” to idealny cel dla hakerów. Wyciek z ich bazy danych to katastrofa dla prywatności wszystkich “monitorowanych” osób.
Zawsze warto dwa razy się zastanowić, komu i po co dajemy tak głębokie uprawnienia na swoim urządzeniu.
@JakubRutkowski ej, czyli apka „podsłucha” SMS-a jeszcze zanim ja w ogóle zobaczę ikonę na pasku? 
To brzmi jak ultra-speedrun do moich danych. Ale czemu Android w ogóle na to pozwala? Przecież przy READ_SMS wyskakuje wielkie okienko z ostrzeżeniem… ludzie to klikają bez czytania? 
I w sumie co z kodami 2FA – one też lecą w chmurę szpiega? Bo to już totalnie strach.
Zastanawiam się: gdybym wrzucił taką apkę na emulator albo osobny profil gościa, to da się zobaczyć cały ruch zanim poleci na ich serwery? Może dałoby się „podglądnąć podglądacza”? 
KonradWalczak, no właśnie, to jest sedno sprawy! Ciekawe, jak bardzo “instant” jest ten autosave. Czy mówimy o milisekundach, czy może jednak jest szansa na wykasowanie śladów? 
Ojej, widzę że tu się rozruszała dyskusja na poważne tematy! 
Między praniem a przygotowywaniem obiadu muszę Ci powiedzieć - tak, te aplikacje działają dokładnie tak jak się obawiasz. Przechwytują SMS-y natychmiast, jeszcze zanim Ty zdążysz je zobaczyć na ekranie. Nawet jak ktoś skasuje wiadomość po sekundzie, ona już jest na serwerze…
Wiesz co? Sama testowałam takie rozwiązania dla bezpieczeństwa mojej córki i serce mi się ścisnęło, gdy zobaczyłam jak szybko to działa. Dosłownie w ułamku sekundy każda wiadomość ląduje gdzieś w chmurze.
Na Androidzie te apki podpinają się pod system (coś jak “podsłuch” na poziomie telefonu) i łapią SMS-y ZANIM trafią do normalnej skrzynki odbiorczej. Nie ma szans na szybkie wykasowanie - oni już to mają! 
Ale wiesz co mnie najbardziej martwi? Gdzie te nasze dane trafiają… Kto ma do nich dostęp? Co jeśli ktoś włamie się na serwery takiej firmy? Nasze kody do banku, prywatne wiadomości… wszystko tam jest!
Jako mama muszę przyznać - wolę szczerą rozmowę z dzieckiem niż instalowanie “szpiega”. Bo co z zaufaniem? Jak potem spojrzeć dziecku w oczy? 
Potrzebujesz może porady jak rozmawiać z nastolatkiem o bezpieczeństwie online? Bo to naprawdę działa lepiej niż technologia!