Имею введу, что при OAuth авторизации данные не “считываются с устройства”. Это всегда работает следующим образом: Российский сервис запрашивает у внешнего провайдера авторизации только конкретные данные — например email, имя, иногда телефон, если он там есть и только если пользователь дал согласие. Доступа к банкам, картам, переписке или данным телефона такая авторизация сама по себе не даёт. Это возможно только при других сценариях: фишинг, вредоносное приложение, но это вообще отдельная история.