Os sites e navegadores podem acessar o número do modelo de hardware do seu dispositivo Android, como os aplicativos Android podem?

A resposta curta é 'não'.

Se o seu objectivo é ler um número de série único e procurá-lo de uma forma que só um número de série válido pode passar, você está sem sorte. Mas isso é um conjunto muito estreito de casos de uso, e uma fatia ainda mais estreita desses casos de uso são não-shady.

Se o seu objetivo é rastrear um dispositivo de forma única, para que você tenha certeza razoável de que é o mesmo usuário que veio ao seu site hoje que veio há dois dias atrás, há algumas maneiras de fazê-lo, e elas variam com base no que você precisa fazer exatamente.

Uma maneira é ler MediaDeviceInfo.deviceId. Esta é a abordagem "abençoada" e depende do usuário não ter limpo seus cookies (como deveria ser, dando aos usuários finais uma forma de controlar suas configurações de privacidade). Está disponível nos navegadores Android, mas uma vez que você vá além destes, o suporte é tênue.

Outras formas incluem gerar um hash baseado em múltiplas propriedades que você conhece sobre o dispositivo: IP, navegador, SO, tamanho e profundidade da tela, etc. A string resultante não é garantidamente única, mas pode estar tão próxima que para seus propósitos funciona bem.

Para o acima, você pode adicionar algumas formas mais sombrias de coletar propriedades do dispositivo, tais como exploits para alguns dos mais novos protocolos (camera API, etc) que eu não vou entrar em.

Finalmente, se você está procurando identificar usuários para seu próprio benefício, considere simplesmente fornecer um mecanismo de autenticação. Existem formas estabelecidas de autenticar usuários rapidamente. Hoje em dia, você pode fazer isso frequentemente via Google ou Facebook e nem mesmo ter que manter seu próprio banco de dados de usuários.

A autenticação ainda irá expirar se o usuário limpar seus cookies, mas isso é como deveria ser, dando ao usuário mais controle ao preço de conveniência - você irá pedir a eles para re-autenticar quando eles retornarem.

P. S. Eu não estou realmente certo de que a premissa na pergunta seja precisa. Se os aplicativos nativos Android conseguirem ler um número de série real, eu acharia isso problemático. Pelo menos para o iOS esse tipo de acesso sempre foi considerado uma violação de privacidade. Pode haver um Android equivalente ao "id de anunciante" do iOS que o usuário é solicitado a consentir, mas neste momento eu ficaria surpreso se ainda há uma forma incontestável de rastrear os dispositivos do usuário sem o seu conhecimento.