Когда пользователь успешно проходит аутентификацию по своему номеру телефона в первый раз, номер телефона сохраняется в записи пользователя в списке пользователей Firebase Auth и может считаться подтвержденным.
Как только номер телефона связан с пользователем в вашей базе данных аутентификации, вы можете быть уверены, что
- номер телефона действителен
- номер телефона был успешно использован для аутентификации пользователя в тот момент, когда номер был связан с указанным пользователем
- номер телефона не может быть связан с другим пользователем
Вы не должны предполагать, что этот номер телефона теперь "проверен". Как указано на официальных страницах документации Firebase:
Проблемы безопасности
Аутентификация с использованием только телефонного номера, хотя удобнее, меньше
безопаснее, чем другие доступные методы, потому что владение телефоном
номер может быть легко передан между пользователями. Также на устройствах с
несколько пользовательских профилей, любой пользователь, который может получать SMS-сообщения, может
войдите в учетную запись, используя номер телефона устройства.
Если вы используете в своем приложении регистрацию по номеру телефона, вам следует предложить его
наряду с более безопасными методами входа и информирования пользователей о
безопасность компромиссов при использовании номера телефона для входа.
Источник: https://firebase.google.com/docs/auth/web/phone-auth#security-concerns
PS: Единственный другой способ добавить номер телефона пользователю - через Admin SDK, и здесь вы несете ответственность за то, чтобы номер телефона принадлежал пользователю.
PSS: Насколько мне известно (и проверено), API-интерфейсы Firebase REST не предоставляют информацию о «проверенном номере телефона».