معرفات الجهاز

يغير Android 10 أذونات معرفات الجهاز بحيث تكون جميع معرفات الجهاز محمية الآن بإذن READ_PRIVILEGED_PHONE_STATE . قبل إصدار Android 10 ، كانت معرفات الأجهزة الثابتة (IMEI / MEID و IMSI و SIM والبناء التسلسلي) محمية خلف إذن وقت تشغيل READ_PHONE_STATE . READ_PRIVILEGED_PHONE_STATE إذن READ_PRIVILEGED_PHONE_STATE فقط للتطبيقات الموقعة باستخدام مفتاح النظام الأساسي وتطبيقات النظام المميزة.

يمكن العثور على مزيد من المعلومات حول متطلبات الأذونات الجديدة في صفحات Javadoc لـ TelephonyManager.java و Build.java .

يؤثر هذا التغيير على واجهات برمجة التطبيقات التالية:

  • TelephonyManager # getDeviceId
  • TelephonyManager # getImei
  • TelephonyManager # getMeid
  • TelephonyManager # getSimSerialNumber
  • TelephonyManager # getSubscriberId
  • بناء # getSerial

الوصول إلى تطبيقات الناقل دون إذن READ_PRIVILEGED_PHONE_STATE

يمكن لتطبيقات شركات الجوّال READ_PRIVILEGED_PHONE_STATE مسبقًا غير المؤهلة للحصول على إذن READ_PRIVILEGED_PHONE_STATE تنفيذ أحد الخيارات الواردة في الجدول أدناه.

خيار الوصف محددات
امتيازات الناقل UICC يقوم نظام Android الأساسي بتحميل الشهادات المخزنة على UICC ويمنح الإذن للتطبيقات الموقعة بواسطة هذه الشهادات لإجراء مكالمات إلى طرق خاصة. تمتلك شركات الاتصالات القديمة عددًا كبيرًا من شرائح SIM الثابتة ، والتي لا يمكن تحديثها بسهولة. أيضًا ، لا يمكن لشركات الجوال التي ليس لديها حقوق تأليف لبطاقات SIM الجديدة (على سبيل المثال ، MVNO التي لديها شرائح SIM صادرة من مشغلي شبكات MNO) إضافة أو تحديث الشهادات على بطاقات SIM.
القائمة البيضاء لـ OEM يمكن لمصنعي المعدات الأصلية استخدام OP_READ_DEVICE_IDENTIFIER لتوفير معرفات الجهاز لتطبيقات شركة الجوال OP_READ_DEVICE_IDENTIFIER في القائمة البيضاء. هذا الحل غير قابل للتطوير لجميع شركات النقل.
اكتب رمز التخصيص (TAC) استخدم طريقة getTypeAllocationCode ، المقدمة في Android 10 ، لفضح TAC الذي يقوم بإرجاع معلومات الشركة المصنعة والطراز. المعلومات الواردة في TAC غير كافية لتحديد جهاز معين.
MSISDN يمكن لشركات الاتصالات استخدام رقم الهاتف (MSISDN) ، المتوفر ضمن TelephonyManager مع مجموعة أذونات PHONE ، للبحث عن IMEI على أنظمة الواجهة الخلفية الخاصة بهم. هذا يتطلب استثمارات كبيرة للناقلين. تتطلب شركات الاتصالات التي تعين مفاتيح الشبكة الخاصة بها باستخدام IMSI موارد فنية كبيرة للتبديل إلى MSISDN .

يمكن لجميع تطبيقات شركة الاتصالات الوصول إلى معرّفات الجهاز عن طريق تحديث ملف CarrierConfig.xml مع تجزئة شهادة التوقيع لتطبيق شركة الجوال. عندما يستدعي التطبيق الناقل طريقة لقراءة المعلومات المميزة ، يبحث النظام الأساسي عن تطابق تجزئة شهادة توقيع التطبيق (توقيع SHA-1 أو SHA-256 للشهادة) في ملف CarrierConfig.xml . إذا تم العثور على تطابق ، يتم إرجاع المعلومات المطلوبة. إذا لم يتم العثور على تطابق ، يتم إرجاع استثناء أمني.

لتنفيذ هذا الحل ، يجب على شركات الاتصالات اتباع الخطوات التالية:

  1. قم بتحديث CarrierConfig.xml باستخدام تجزئة شهادة التوقيع لتطبيق الناقل وإرسال تصحيح .
  2. اطلب من مصنعي المعدات الأصلية تحديث تصميمهم باستخدام QPR1 + (موصى به) أو تصحيحات النظام الأساسي المطلوبة والتصحيح الذي يحتوي على ملف CarrierConfig.xml المحدث من الخطوة 1 أعلاه.

التنفيذ

قم بتحديث القائمة البيضاء للإذن المميز الخاص بك لمنح إذن READ_PRIVILEGED_PHONE_STATE لتلك التطبيقات المميزة التي تتطلب الوصول إلى معرفات الجهاز.

لمعرفة المزيد حول الإضافة إلى القائمة البيضاء ، ارجع إلى القائمة البيضاء للأذونات المميزة .

لاستدعاء واجهات برمجة التطبيقات المتأثرة ، يجب أن يفي التطبيق بأحد المتطلبات التالية:

  • إذا كان التطبيق تطبيقًا مميزًا تم تحميله مسبقًا ، فإنه يحتاج إلى إذن READ_PRIVILEGED_PHONE_STATE المعلن في AndroidManifest.xml. يحتاج التطبيق أيضًا إلى إدراج هذا الإذن المميز في القائمة البيضاء.
  • تحتاج التطبيقات المقدمة من خلال Google Play إلى امتيازات مشغل شبكة الجوّال. تعرف على المزيد حول منح امتيازات الناقل على صفحة امتيازات الناقل UICC .
  • تطبيق مالك الجهاز أو الملف الشخصي الذي تم منحه إذن READ_PHONE_STATE .

التطبيق الذي لا يلبي أيًا من هذه المتطلبات لديه السلوك التالي:

  • إذا كان التطبيق يستهدف ما قبل Q ولم يتم منح إذن READ_PHONE_STATE ، READ_PHONE_STATE تشغيل SecurityException . هذا هو السلوك الحالي لما قبل Q حيث أن هذا الإذن مطلوب لاستدعاء واجهات برمجة التطبيقات هذه.
  • إذا كان التطبيق يستهدف ما قبل Q وتم منح إذن READ_PHONE_STATE ، فإنه يتلقى قيمة فارغة لجميع واجهات برمجة تطبيقات TelephonyManager و Build.UNKNOWN Build#getSerial .
  • إذا كان التطبيق يستهدف نظام Android 10 أو إصدارًا أحدث ولا يلبي أيًا من المتطلبات الجديدة ، فإنه يتلقى استثناء SecurityException.

التحقق من الصحة والاختبار

تتضمن مجموعة اختبار التوافق (CTS) اختبارات للتحقق من سلوك الوصول المتوقع لمعرف الجهاز للتطبيقات التي تتمتع بامتيازات شركة الاتصالات ، ومالكي الأجهزة والملفات الشخصية ، وتلك التطبيقات التي يُتوقع ألا يكون لديها وصول إلى معرفات الجهاز.

تعتبر اختبارات CTS التالية خاصة بهذه الميزة.

cts-tradefed run cts -m CtsCarrierApiTestCases -t
    android.carrierapi.cts.CarrierApiTest

cts-tradefed run cts -m CtsTelephonyTestCases -t
    android.telephony.cts.TelephonyManagerTest

cts-tradefed run cts -m CtsTelephony3TestCases

cts-tradefed run cts -m CtsPermissionTestCases -t
    android.permission.cts.TelephonyManagerPermissionTest

cts-tradefed run cts -m CtsDevicePolicyManagerTestCases -t
    com.android.cts.devicepolicy.DeviceOwnerTest#testDeviceOwnerCanGetDeviceIdentifiers

cts-tradefed run cts -m CtsDevicePolicyManagerTestCases -t
    com.android.cts.devicepolicy.ManagedProfileTest#testProfileOwnerCanGetDeviceIdentifiers

cts-tradefed run cts -m CtsDevicePolicyManagerTestCases -t
    com.android.cts.devicepolicy.ManagedProfileTest#testProfileOwnerCannotGetDeviceIdentifiersWithoutPermission

cts-tradefed run cts -m CtsDevicePolicyManagerTestCases -t
    com.android.cts.devicepolicy.DeviceOwnerTest#testDeviceOwnerCannotGetDeviceIdentifiersWithoutPermission

أسئلة وأجوبة

كم عدد التطبيقات التي يمكن CarrierConfig.xml إلى القائمة البيضاء في CarrierConfig.xml معينة (MCC ، MNC)؟

لا يوجد حد لعدد تجزئات الشهادة المضمنة في المصفوفة.

ما معلمات CarrierConfig في CarrierConfig.xml أحتاج إلى استخدامها لإدراج تطبيق في القائمة البيضاء؟

استخدم عنصر التكوين ذي المستوى الأعلى التالي داخل CarrierConfig.xml المحدد من خيارات AOSP التي تقوم بتكوينها:

<string-array name="carrier_certificate_string_array" num="2">
    <item value="BF02262E5EF59FDD53E57059082F1A7914F284B"/>
    <item value="9F3868A3E1DD19A5311D511A60CF94D975A344B"/>
</string-array>

هل يوجد نموذج CarrierConfig أساسي يمكنني استخدامه؟

استخدم النموذج التالي. يجب إضافة هذا إلى الأصل ذي الصلة .

<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<carrier_config>
    <string-array name="carrier_certificate_string_array"
num="1">
        <item value="CERTIFICATE_HASH_HERE"/>
    </string-array>
</carrier_config>

هل يجب أن تكون بطاقة SIM الخاصة بشركة الاتصالات في الجهاز للوصول إلى معرفات الجهاز؟

يتم تحديد CarrierConfig.xml المستخدم بناءً على بطاقة SIM التي تم إدخالها حاليًا. هذا يعني أنه إذا حاول تطبيق شركة الجوّال X الحصول على امتيازات الوصول أثناء إدخال بطاقة SIM الخاصة بشركة الجوّال Y ، فلن يجد الجهاز تطابقًا للتجزئة ويعيد استثناء أمان.

على الأجهزة متعددة بطاقات SIM ، يمتلك الناقل رقم 1 فقط امتيازات الوصول لبطاقة SIM رقم 1 والعكس صحيح.

كيف تقوم شركات الاتصالات بتحويل شهادة توقيع التطبيق إلى تجزئة؟

لتحويل شهادات التوقيع إلى تجزئة قبل إضافتها إلى CarrierConfig.xml ، قم بما يلي:

  1. قم بتحويل توقيع شهادة التوقيع إلى مصفوفة بايت باستخدام toByteArray .
  2. استخدم MessageDigest لتحويل مصفوفة البايت إلى تجزئة في نوع البايت [].
  3. تحويل التجزئة من بايت [] إلى تنسيق سلسلة سداسية عشرية. على سبيل المثال ، راجع IccUtils.java .

    List<String> certHashes = new ArrayList<>();
    PackageInfo pInfo; // Carrier app PackageInfo
    MessageDigest md =
    MessageDigest.getInstance("SHA-256");
    for (Signature signature : pInfo.signatures) {
        certHashes.add(bytesToHexString(md.digest(signature.toByteArray()));
    }
    
  4. إذا كانت certHashes عبارة عن مصفوفة بالحجم 2 بقيمة 12345 و 54321 ، قم بإضافة ما يلي إلى ملف تهيئة الحامل.

    <string-array name="carrier_certificate_string_array" num="2">
        <item value="12345"/>
        <item value="54321"/>
    </string-array>