डिवाइस आइडेंटिफ़ायर

Android 10 में, डिवाइस आइडेंटिफ़ायर की अनुमतियों में बदलाव किया गया है. अब सभी डिवाइस आइडेंटिफ़ायर, READ_PRIVILEGED_PHONE_STATE अनुमति से सुरक्षित हैं. Android 10 से पहले, डिवाइस के खास आइडेंटिफ़ायर (IMEI/MEID, IMSI, सिम, और बिल्ड सीरियल) को READ_PHONE_STATE रनटाइम अनुमति के तहत सुरक्षित रखा जाता था. READ_PRIVILEGED_PHONE_STATE अनुमति सिर्फ़ उन ऐप्लिकेशन को दी जाती है जिन्हें प्लैटफ़ॉर्म की से साइन किया गया है. साथ ही, यह अनुमति खास सिस्टम ऐप्लिकेशन को भी दी जाती है.

अनुमति से जुड़ी नई ज़रूरी शर्तों के बारे में ज़्यादा जानकारी, TelephonyManager.java और Build.java के Javadoc पेजों पर देखी जा सकती है.

इस बदलाव से इन एपीआई पर असर पड़ेगा:

• TelephonyManager#getDeviceId
• TelephonyManager#getImei
• TelephonyManager#getMeid
• TelephonyManager#getSimSerialNumber
• TelephonyManager#getSubscriberId
• Build#getSerial

READ_PRIVILEGED_PHONE_STATE अनुमति के बिना, मोबाइल और इंटरनेट सेवा देने वाली कंपनियों के ऐप्लिकेशन के लिए ऐक्सेस

प्रीलोड किए गए ऐसे कैरियर ऐप्लिकेशन जो READ_PRIVILEGED_PHONE_STATE अनुमति पाने की ज़रूरी शर्तें पूरी नहीं करते हैं, वे नीचे दी गई टेबल में से कोई एक विकल्प लागू कर सकते हैं.

सभी कैरियर ऐप्लिकेशन, डिवाइस आइडेंटिफ़ायर को ऐक्सेस कर सकते हैं. इसके लिए, उन्हें CarrierConfig.xml फ़ाइल को अपडेट करना होगा. इस फ़ाइल में, कैरियर ऐप्लिकेशन के साइनिंग सर्टिफ़िकेट का हैश मौजूद होता है. जब कैरियर ऐप्लिकेशन, खास जानकारी को पढ़ने के लिए किसी तरीके को कॉल करता है, तो प्लैटफ़ॉर्म, CarrierConfig.xml फ़ाइल में ऐप्लिकेशन के साइनिंग सर्टिफ़िकेट के हैश (सर्टिफ़िकेट का SHA-1 या SHA-256 सिग्नेचर) का मिलान करता है. अगर कोई मैच मिलता है, तो अनुरोध की गई जानकारी दिखती है. अगर कोई मैच नहीं मिलता है, तो सुरक्षा से जुड़ी गड़बड़ी का मैसेज दिखता है.

इस समाधान को लागू करने के लिए, कैरिअर को यह तरीका अपनाना होगा:

1. साइनिंग सर्टिफ़िकेट के हैश के साथ CarrierConfig.xml अपडेट करें. यह हैश, कैरियर ऐप्लिकेशन का होना चाहिए. इसके बाद, पैच सबमिट करें.
2. ओईएम से अनुरोध करें कि वे अपने बिल्ड को QPR1+ (सुझाया गया) या इन ज़रूरी प्लैटफ़ॉर्म पैच के साथ-साथ, ऊपर दिए गए पहले चरण में अपडेट की गई CarrierConfig.xml फ़ाइल वाले पैच से अपडेट करें.

लागू करना

अनुमति वाले ऐप्लिकेशन की सूची को अपडेट करें, ताकि READ_PRIVILEGED_PHONE_STATE को उन ऐप्लिकेशन के लिए अनुमति दी जा सके जिन्हें डिवाइस आइडेंटिफ़ायर ऐक्सेस करने की ज़रूरत है.

मंज़ूरी वाली सूची के बारे में ज़्यादा जानने के लिए, खास अनुमतियों के लिए मंज़ूरी वाली सूची लेख पढ़ें.

जिन एपीआई पर असर पड़ा है उन्हें ऐक्सेस करने के लिए, किसी ऐप्लिकेशन को इनमें से कोई एक शर्त पूरी करनी होगी:

• अगर ऐप्लिकेशन, पहले से लोड किया गया विशेषाधिकार वाला ऐप्लिकेशन है, तो उसे AndroidManifest.xml में बताई गई READ_PRIVILEGED_PHONE_STATE अनुमति की ज़रूरत होगी. ऐप्लिकेशन को इस खास अनुमति के लिए, अनुमति वाली सूची में शामिल करना भी ज़रूरी है.
• Google Play के ज़रिए उपलब्ध कराए गए ऐप्लिकेशन के लिए, कैरियर के विशेषाधिकार ज़रूरी होते हैं. यूआईसीसी कैरियर के विशेषाधिकार पेज पर जाकर, कैरियर के विशेषाधिकार देने के बारे में ज़्यादा जानें.
• डिवाइस या प्रोफ़ाइल के मालिक का ऐसा ऐप्लिकेशन जिसे READ_PHONE_STATE अनुमति दी गई है.

इनमें से किसी भी ज़रूरी शर्त को पूरा न करने वाले ऐप्लिकेशन के साथ ये कार्रवाइयां की जाती हैं:

• अगर ऐप्लिकेशन का टारगेट प्री-क्यू है और उसके पास READ_PHONE_STATE अनुमति नहीं है, तो SecurityException ट्रिगर हो जाता है. यह प्री-क्यू का मौजूदा व्यवहार है, क्योंकि इन एपीआई को शुरू करने के लिए इस अनुमति की ज़रूरत होती है.
• अगर ऐप्लिकेशन का टारगेट Android 9 से पहले के वर्शन हैं और उसे READ_PHONE_STATE अनुमति मिली हुई है, तो उसे TelephonyManager API के लिए शून्य वैल्यू मिलती है. साथ ही, Build.UNKNOWN के लिए Build#getSerial तरीके के लिए भी शून्य वैल्यू मिलती है.
• अगर ऐप्लिकेशन, Android 10 या इसके बाद के वर्शन को टारगेट कर रहा है और नई ज़रूरी शर्तों में से किसी एक को भी पूरा नहीं करता है, तो उसे SecurityException मिलेगा.

पुष्टि करना और जांच करना

Compatibility Test Suite (CTS) में ऐसे टेस्ट शामिल होते हैं जिनसे यह पुष्टि की जाती है कि डिवाइस आइडेंटिफ़ायर को ऐक्सेस करने का तरीका, कैरियर के कंट्रोल वाले ऐप्लिकेशन, डिवाइस और प्रोफ़ाइल के मालिकों, और उन ऐप्लिकेशन के लिए सही है जिनके पास डिवाइस आइडेंटिफ़ायर को ऐक्सेस करने की अनुमति नहीं है.

इस सुविधा के लिए, यहां दिए गए सीटीएस टेस्ट खास तौर पर बनाए गए हैं.

cts-tradefed run cts -m CtsCarrierApiTestCases -t
    android.carrierapi.cts.CarrierApiTest

cts-tradefed run cts -m CtsTelephonyTestCases -t
    android.telephony.cts.TelephonyManagerTest

cts-tradefed run cts -m CtsTelephony3TestCases

cts-tradefed run cts -m CtsPermissionTestCases -t
    android.permission.cts.TelephonyManagerPermissionTest

cts-tradefed run cts -m CtsDevicePolicyManagerTestCases -t
    com.android.cts.devicepolicy.DeviceOwnerTest#testDeviceOwnerCanGetDeviceIdentifiers

cts-tradefed run cts -m CtsDevicePolicyManagerTestCases -t
    com.android.cts.devicepolicy.ManagedProfileTest#testProfileOwnerCanGetDeviceIdentifiers

cts-tradefed run cts -m CtsDevicePolicyManagerTestCases -t
    com.android.cts.devicepolicy.ManagedProfileTest#testProfileOwnerCannotGetDeviceIdentifiersWithoutPermission

cts-tradefed run cts -m CtsDevicePolicyManagerTestCases -t
    com.android.cts.devicepolicy.DeviceOwnerTest#testDeviceOwnerCannotGetDeviceIdentifiersWithoutPermission

अक्सर पूछे जाने वाले सवाल

किसी दिए गए (एमसीसी, एमएनसी) के लिए, CarrierConfig.xml में कितने ऐप्लिकेशन को अनुमति दी जा सकती है?

ऐरे में शामिल किए गए सर्टिफ़िकेट हैश की संख्या पर कोई पाबंदी नहीं है.

किसी ऐप्लिकेशन को अनुमति वाली सूची में शामिल करने के लिए, मुझे CarrierConfig.xml में मौजूद CarrierConfig के किन पैरामीटर का इस्तेमाल करना होगा?

कॉन्फ़िगर किए जा रहे एओएसपी विकल्पों में से किसी CarrierConfig.xml के अंदर, यहां दिया गया टॉप-लेवल कॉन्फ़िगरेशन आइटम इस्तेमाल करें:

<string-array name="carrier_certificate_string_array" num="2">
    <item value="BF02262E5EF59FDD53E57059082F1A7914F284B"/>
    <item value="9F3868A3E1DD19A5311D511A60CF94D975A344B"/>
</string-array>

क्या CarrierConfig का कोई ऐसा बुनियादी टेंप्लेट है जिसका इस्तेमाल किया जा सकता है?

इस टेंप्लेट का इस्तेमाल करें. इसे काम की ऐसेट में जोड़ना चाहिए.

<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<carrier_config>
    <string-array name="carrier_certificate_string_array"
num="1">
        <item value="CERTIFICATE_HASH_HERE"/>
    </string-array>
</carrier_config>

क्या डिवाइस आइडेंटिफ़ायर ऐक्सेस करने के लिए, डिवाइस में मोबाइल और इंटरनेट सेवा देने वाली कंपनी का सिम कार्ड होना ज़रूरी है?

इस्तेमाल किया जाने वाला CarrierConfig.xml, डिवाइस में मौजूद सिम के हिसाब से तय होता है. इसका मतलब है कि अगर कैरियर X का ऐप्लिकेशन, कैरियर Y का सिम डालने पर ऐक्सेस के अधिकार पाने की कोशिश करता है, तो डिवाइस को हैश से मेल खाने वाला कोई भी डेटा नहीं मिलेगा. साथ ही, वह सुरक्षा से जुड़ी गड़बड़ी का मैसेज दिखाएगा.

एक से ज़्यादा सिम वाले डिवाइसों पर, मोबाइल और इंटरनेट सेवा देने वाली कंपनी #1 के पास सिर्फ़ सिम #1 के ऐक्सेस के अधिकार होते हैं. इसी तरह, मोबाइल और इंटरनेट सेवा देने वाली कंपनी #2 के पास सिर्फ़ सिम #2 के ऐक्सेस के अधिकार होते हैं.

कैरियर, ऐप्लिकेशन के साइनिंग सर्टिफ़िकेट को हैश में कैसे बदलते हैं?

हस्ताक्षर करने वाले सर्टिफ़िकेट को CarrierConfig.xml में जोड़ने से पहले, उन्हें हैश में बदलने के लिए यह तरीका अपनाएं:

1. हस्ताक्षर करने वाले सर्टिफ़िकेट के हस्ताक्षर को बाइट ऐरे में बदलें. इसके लिए, toByteArray का इस्तेमाल करें.
2. बाइट ऐरे को byte[] टाइप में हैश में बदलने के लिए, MessageDigest का इस्तेमाल करें.

3. बाइट[] से हैश को हेक्स स्ट्रिंग फ़ॉर्मैट में बदलें. उदाहरण के लिए, IccUtils.java देखें.

   List<String> certHashes = new ArrayList<>();
   PackageInfo pInfo; // Carrier app PackageInfo
   MessageDigest md =
   MessageDigest.getInstance("SHA-256");
   for (Signature signature : pInfo.signatures) {
       certHashes.add(bytesToHexString(md.digest(signature.toByteArray()));
   }

4. अगर certHashes, 2 साइज़ की एक ऐसी ऐरे है जिसकी वैल्यू 12345 और 54321 है, तो कैरियर कॉन्फ़िगरेशन फ़ाइल में यह जानकारी जोड़ें.

   <string-array name="carrier_certificate_string_array" num="2">
       <item value="12345"/>
       <item value="54321"/>
   </string-array>