Data Privacy

noncey Android App

1. Overview

noncey is an Android application that intercepts incoming SMS messages containing OTP (one-time password) codes and forwards them to a server you configure yourself (your own noncey daemon). The app acts as a bridge between your device's SMS system and your personal daemon for OTP management. No data is sent to the developer or any third party.

2. Data Collected and Processed

The app processes the following data on your device:

  • Incoming SMS content — the body of received text messages, read in order to match against your configured OTP providers and forward matching messages to your daemon.
  • Sender phone number — the originating number of each SMS, used for provider matching and forwarded to your daemon alongside the message body.
  • Message timestamp — the date and time each SMS is received, forwarded to your daemon as part of the SMS record.
  • SIM country code — queried once per SMS to normalize phone numbers to E.164 format when the sender number lacks a country prefix. Not stored or transmitted.
  • Network connectivity status — checked to determine whether a queued SMS can be retried immediately. Not stored or transmitted.
  • Login credentials — the username and password you enter are sent once to your daemon during authentication. Your password is not stored after the session token is received.

The app does not collect your device phone number, hardware identifiers, location, contacts, call history, or any other personal data beyond what is listed above.

3. Data Stored Locally

The app stores the following data on your device:

  • Server URL — the address of your noncey daemon, entered by you during login. Stored in encrypted form.
  • Username — your login name for the daemon. Stored in encrypted form.
  • Authentication token (JWT) and its expiry — obtained from your daemon after successful login and used for all subsequent requests. Stored in encrypted form. Your password is not retained.
  • App settings — auto-forward toggle, spool retention window, retry interval, and fallback country code. Stored in encrypted form.
  • SMS spool — a short-lived queue of SMS messages that could not be forwarded immediately due to a network error. Each entry contains the sender number, message body, and received timestamp. Entries are purged automatically once forwarded or after the configured retention window (default: 10 minutes). Stored in a local SQLite database.
  • Trace log — a plain-text event log for debugging purposes (e.g., "SMS received", "forwarding failed"). Entries are kept for 24 hours and then purged automatically. This log is stored locally and never transmitted.

Credentials and settings are encrypted using AES-256-GCM via Android's EncryptedSharedPreferences backed by the Android KeyStore. This data never leaves your device except to reach your own daemon server.

4. Data Transmitted to Your Server

The app communicates with the server URL you provide. During normal operation the following data is sent to that server:

  • Login credentials (username and password) — once, during authentication.
  • Bearer token — with every API request.
  • SMS records (sender number, message body, received timestamp) — for each SMS forwarded, either automatically or manually.
  • Configuration activation and deactivation requests — when you enable or disable an SMS-channel provider in the app.

All communication is over HTTPS between your device and the server you have chosen. The developer of noncey receives none of this data.

5. Permissions Used

  • RECEIVE_SMS — to intercept incoming SMS messages in real time for automatic forwarding.
  • READ_SMS — to display your SMS inbox inside the app so you can select messages for manual forwarding.
  • WRITE_SMS — to mark forwarded messages as read in your inbox. This permission is optional; the app continues to function if it is denied.
  • INTERNET — to communicate with your configured daemon server.
  • ACCESS_NETWORK_STATE — to detect connectivity changes and trigger retries for queued messages.
  • FOREGROUND_SERVICE / FOREGROUND_SERVICE_DATA_SYNC — to keep the SMS forwarding service running in the background as a foreground service, ensuring messages are not missed while the app is not in the foreground.

The app does not read, copy, or transmit any SMS content that does not match your configured provider rules, beyond what is listed above.

6. No Third-Party Data Sharing

No personal data is shared with the developer or any third party. The app contains no analytics, no crash reporting, no advertising functionality, and no third-party SDKs that collect data.

7. Your Rights (GDPR)

Because all data is stored locally on your device or on your own server, you have full control over it at all times. You can delete locally stored data at any time by logging out of the app (which clears credentials and the spool) or by uninstalling it. Data on your own server can be managed through that server's interface.

For questions about this privacy policy, contact: fatih.gey at gmail.com

Datenschutzbestimmungen

noncey Android-App

1. Überblick

noncey ist eine Android-Anwendung, die eingehende SMS-Nachrichten mit OTP-Codes (Einmalpasswörter) abfängt und an einen Server weiterleitet, den Sie selbst konfigurieren (Ihren eigenen noncey-Daemon). Die App dient als Brücke zwischen dem SMS-System Ihres Geräts und Ihrem persönlichen Daemon für die OTP-Verwaltung. Es werden keine Daten an den Entwickler oder Dritte übermittelt.

2. Erhobene und verarbeitete Daten

Die App verarbeitet folgende Daten auf Ihrem Gerät:

  • Inhalt eingehender SMS — der Text empfangener Nachrichten, um sie mit Ihren konfigurierten OTP-Anbietern abzugleichen und passende Nachrichten an Ihren Daemon weiterzuleiten.
  • Absenderrufnummer — die Ursprungsnummer jeder SMS, verwendet für den Anbieterabgleich und zusammen mit dem Nachrichteninhalt an Ihren Daemon weitergeleitet.
  • Nachrichtenzeitstempel — Datum und Uhrzeit des Empfangs jeder SMS, werden als Teil des SMS-Datensatzes an Ihren Daemon übermittelt.
  • SIM-Länderkennung — wird einmalig pro SMS abgefragt, um Rufnummern ohne Ländervorwahl in das E.164-Format zu normalisieren. Wird weder gespeichert noch übertragen.
  • Netzwerkverbindungsstatus — wird geprüft, um festzustellen, ob eine in der Warteschlange befindliche SMS sofort erneut versendet werden kann. Wird weder gespeichert noch übertragen.
  • Anmeldedaten — Ihr Benutzername und Passwort werden einmalig während der Authentifizierung an Ihren Daemon übermittelt. Das Passwort wird nach Erhalt des Sitzungs-Tokens nicht gespeichert.

Die App erfasst weder Ihre Geräterufnummer, Hardware-Kennungen, Standortdaten, Kontakte, Anrufverlauf noch sonstige personenbezogene Daten über die oben genannten hinaus.

3. Lokal gespeicherte Daten

Die App speichert folgende Daten auf Ihrem Gerät:

  • Server-URL — die Adresse Ihres noncey-Daemons, von Ihnen beim Login eingegeben. Wird verschlüsselt gespeichert.
  • Benutzername — Ihr Anmeldename für den Daemon. Wird verschlüsselt gespeichert.
  • Authentifizierungstoken (JWT) und dessen Ablaufdatum — wird nach erfolgreichem Login von Ihrem Daemon bezogen und für alle nachfolgenden Anfragen verwendet. Wird verschlüsselt gespeichert. Ihr Passwort wird nicht dauerhaft gespeichert.
  • App-Einstellungen — Auto-Weiterleitung, Warteschlangen-Aufbewahrungsfenster, Wiederholungsintervall und Standard-Länderkennung. Werden verschlüsselt gespeichert.
  • SMS-Warteschlange (Spool) — eine kurzlebige Warteschlange für SMS-Nachrichten, die aufgrund eines Netzwerkfehlers nicht sofort weitergeleitet werden konnten. Jeder Eintrag enthält Absenderrufnummer, Nachrichteninhalt und Empfangszeitstempel. Einträge werden automatisch gelöscht, sobald sie weitergeleitet wurden oder das konfigurierte Aufbewahrungsfenster abgelaufen ist (Standard: 10 Minuten). Gespeichert in einer lokalen SQLite-Datenbank.
  • Trace-Log — ein Ereignisprotokoll für Debugging-Zwecke (z. B. „SMS empfangen", „Weiterleitung fehlgeschlagen"). Einträge werden 24 Stunden aufbewahrt und danach automatisch gelöscht. Dieses Protokoll wird lokal gespeichert und nie übertragen.

Anmeldedaten und Einstellungen werden mittels AES-256-GCM über Androids EncryptedSharedPreferences verschlüsselt, gesichert durch den Android KeyStore. Diese Daten verlassen Ihr Gerät nicht, außer um Ihren eigenen Daemon-Server zu erreichen.

4. An Ihren Server übermittelte Daten

Die App kommuniziert mit der von Ihnen angegebenen Server-URL. Im normalen Betrieb werden folgende Daten an diesen Server übermittelt:

  • Anmeldedaten (Benutzername und Passwort) — einmalig zur Authentifizierung.
  • Bearer-Token — bei jeder API-Anfrage.
  • SMS-Datensätze (Absenderrufnummer, Nachrichteninhalt, Empfangszeitstempel) — für jede weitergeleitete SMS, automatisch oder manuell.
  • Konfigurationsaktivierungen und -deaktivierungen — wenn Sie einen SMS-Kanal-Anbieter in der App aktivieren oder deaktivieren.

Die gesamte Kommunikation erfolgt über HTTPS zwischen Ihrem Gerät und dem von Ihnen gewählten Server. Der Entwickler von noncey erhält keine dieser Daten.

5. Verwendete Berechtigungen

  • RECEIVE_SMS — um eingehende SMS in Echtzeit für die automatische Weiterleitung abzufangen.
  • READ_SMS — um Ihren SMS-Posteingang in der App anzuzeigen, damit Sie Nachrichten zur manuellen Weiterleitung auswählen können.
  • WRITE_SMS — um weitergeleitete Nachrichten in Ihrem Posteingang als gelesen zu markieren. Diese Berechtigung ist optional; die App funktioniert auch ohne sie.
  • INTERNET — für die Kommunikation mit Ihrem konfigurierten Daemon-Server.
  • ACCESS_NETWORK_STATE — um Konnektivitätsänderungen zu erkennen und Wiederholungsversuche für wartende Nachrichten auszulösen.
  • FOREGROUND_SERVICE / FOREGROUND_SERVICE_DATA_SYNC — damit der SMS-Weiterleitungsdienst im Hintergrund als Vordergrunddienst läuft und Nachrichten auch dann nicht verloren gehen, wenn die App nicht im Vordergrund ist.

Die App liest, kopiert oder überträgt keinen SMS-Inhalt, der nicht Ihren konfigurierten Anbieterregeln entspricht, über das oben Genannte hinaus.

6. Keine Weitergabe an Dritte

Es werden keine personenbezogenen Daten an den Entwickler oder Dritte weitergegeben. Die App enthält keine Analysefunktionen, keine Absturzberichte, keine Werbefunktionalität und keine Drittanbieter-SDKs, die Daten erheben.

7. Ihre Rechte (DSGVO)

Da alle Daten lokal auf Ihrem Gerät oder auf Ihrem eigenen Server gespeichert sind, haben Sie jederzeit die vollständige Kontrolle darüber. Sie können lokal gespeicherte Daten jederzeit löschen, indem Sie sich in der App abmelden (dadurch werden Anmeldedaten und Warteschlange gelöscht) oder die App deinstallieren. Daten auf Ihrem eigenen Server können über die Oberfläche dieses Servers verwaltet werden.

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) sowie das Recht auf Datenübertragbarkeit (Art. 20). Soweit die Verarbeitung auf einem berechtigten Interesse beruht, steht Ihnen ein Widerspruchsrecht nach Art. 21 DSGVO zu.

Bei Fragen zu dieser Datenschutzerklärung wenden Sie sich an: fatih.gey at gmail.com