惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

B
Blog
V
Vulnerabilities – Threatpost
Apple Machine Learning Research
Apple Machine Learning Research
V
V2EX
博客园 - 叶小钗
阮一峰的网络日志
阮一峰的网络日志
人人都是产品经理
人人都是产品经理
Latest news
Latest news
博客园 - 三生石上(FineUI控件)
美团技术团队
aimingoo的专栏
aimingoo的专栏
Google Online Security Blog
Google Online Security Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
T
Threatpost
Y
Y Combinator Blog
T
Tailwind CSS Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
A
Arctic Wolf
C
Cyber Attacks, Cyber Crime and Cyber Security
小众软件
小众软件
Recent Commits to openclaw:main
Recent Commits to openclaw:main
T
Tenable Blog
W
WeLiveSecurity
L
LINUX DO - 热门话题
D
Docker
Cyberwarzone
Cyberwarzone
量子位
A
About on SuperTechFans
The Last Watchdog
The Last Watchdog
雷峰网
雷峰网
C
CERT Recently Published Vulnerability Notes
P
Palo Alto Networks Blog
The Hacker News
The Hacker News
Blog — PlanetScale
Blog — PlanetScale
P
Proofpoint News Feed
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
F
Full Disclosure
The Cloudflare Blog
T
The Blog of Author Tim Ferriss
T
The Exploit Database - CXSecurity.com
Engineering at Meta
Engineering at Meta
O
OpenAI News
Hacker News - Newest:
Hacker News - Newest: "LLM"
Scott Helme
Scott Helme
IT之家
IT之家
S
Secure Thoughts
MongoDB | Blog
MongoDB | Blog
L
Lohrmann on Cybersecurity
博客园 - 司徒正美
Google DeepMind News
Google DeepMind News

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
鸿蒙应用安全编码专题系列之UIAbility安全
华为开发者联盟 · 2026-05-22 · via 人人都是产品经理

一、背景介绍

UIAbility组件是鸿蒙应用中包含用户界面(UI)的核心应用组件,主要承担与用户交互的功能,同时也是应用与其他应用进行跨应用交互的核心入口,其配置安全性直接影响应用整体安全边界。

若UIAbility在注册配置时,将exported属性设置为true,则该组件将处于对外暴露状态,允许其他应用发起交互请求。此时,恶意应用可通过拉起该UIAbility并传入非法参数实施攻击;若该暴露的UIAbility同时配置了deeplink或applink,攻击者还可通过远程链路发起攻击,进一步扩大安全风险。

从应用安全防护视角来看,暴露的UIAbility是鸿蒙应用最核心的安全暴露面,其配置不当或校验缺失,极易成为恶意攻击的突破口。

因此,若UIAbility无需与其他应用进行跨应用交互,应明确将exported属性配置为false

若UIAbility因业务需求必须对外暴露、与其他应用交互,理论上可通过配置permissions权限对其进行访问控制。但由于鸿蒙系统暂不支持应用自定义权限,对于普通应用而言,通常无法通过权限配置实现对暴露UIAbility的有效防护。

基于上述现状,若应用的UIAbility必须对外暴露,且需接收外部应用传入的参数进行业务处理,则必须对传入参数进行严格的合法性校验,防止参数注入等攻击;若应用可明确该暴露UIAbility的合法调用方范围,则需从want对象中获取调用方(拉起方)的身份信息并进行安全校验,确保仅允许合法应用发起调用。

针对调用方身份校验,实际开发中常出现校验方法不规范、校验逻辑不完整的问题,易导致攻击绕过。以下重点分析常见的不安全校验方式,并给出安全合规的实现方案。

二、不安全的校验方式及风险分析

2.1 仅校验调用方包名(校验不完整)

当其他应用拉起本应用的UIAbility时,开发者可从want对象中获取调用方的包名(bundleName),并以此作为唯一校验依据。

参考:docs/zh-cn/application-dev/reference/apis-ability-kit/js-apis-app-ability-want.md-代码预览-docs:基于OpenHarmony生态的开发者文档项目 – AtomGit | GitCode

cke_75968.png

典型不安全校验示例代码如下:

  onCreate(want: Want, launchParam: AbilityConstant.LaunchParam): void {
    hilog.info(DOMAIN, TAG, 'EntryAbility onCreate');
    const callerBundleName1 = want.parameters?.['ohos.aafwk.param.callerBundleName'];
    if (callerBundleName1 === 'com.example.callerapp') {
      // 仅校验包名,无其他校验逻辑
    }
  }

  onNewWant(want: Want, launchParam: AbilityConstant.LaunchParam): void {
    const callerBundleName1 = want.parameters?.['ohos.aafwk.param.callerBundleName'];
    if (callerBundleName1 === 'com.example.callerapp') {
      // 仅校验包名,无其他校验逻辑
    }
  }

该校验方式存在明显安全隐患:尽管在鸿蒙系统中仿冒应用包名的难度较高,但并非完全不可实现。攻击者可通过技术手段仿冒合法应用包名,绕过该校验并发起恶意调用,因此仅校验调用方包名不足以保障安全。

2.2 校验包名+签名,但签名信息从本地读取(分布式场景绕过)

为弥补仅校验包名的不足,部分开发者会结合应用签名信息进行校验,认为包名与签名结合即可实现绝对安全——鸿蒙应用的签名信息包含多个安全字段,具备不可仿冒、不可篡改的特性。

参考:BundleInfo-bundleManager-接口依赖的元素及定义-ArkTS API-Ability Kit(程序框架服务)-应用框架 – 华为HarmonyOS开发者

cke_9411.png

典型不安全校验示例代码如下(从本地读取签名信息):先获取调用方包名,然后调用getBundleInfoSync获取其签名信息,然后进行校验

  onCreate(want: Want, launchParam: AbilityConstant.LaunchParam): void {
    hilog.info(DOMAIN, TAG, 'EntryAbility onCreate');
    const callerBundleName1 = want.parameters?.['ohos.aafwk.param.callerBundleName'];
    if (callerBundleName1 === 'com.example.callerapp') {
      let bundleFlags = bundleManager.BundleFlag.GET_BUNDLE_INFO_WITH_SIGNATURE_INFO;
      let userId = 100;
      try {
        // 从本地获取调用方包名对应的签名信息
        let data = bundleManager.getBundleInfoSync('com.example.callerapp', bundleFlags, userId);
        // 校验签名信息中的appId是否合法
        if (data?.signatureInfo?.appId === '123456789') {
          // 执行后续业务逻辑
        }
      } catch (err) {
        let message = (err as BusinessError).message;
        hilog.error(0x0000, 'testTag', 'getBundleInfoSync failed: %{public}s', message);
      }
    }
  }

核心安全问题

上述代码在本地场景下可实现有效校验,但未考虑鸿蒙系统的分布式特性——鸿蒙分布式服务(Distributed Service Kit)支持多设备登录同一账号并组网后,实现跨设备应用拉起功能(跨端拉起)。

详情参考:Distributed Service Kit简介-Distributed Service Kit(分布式管理服务)-网络-系统 – 华为HarmonyOS开发者

攻击场景示例:假设有设备A和设备B,设备A上部署应用1(采用上述校验方式),攻击者在设备B上仿冒应用2(仅仿冒包名,无法仿冒签名),通过调用getAvailableDeviceListSync接口获取设备A的deviceId,再调用startAbility接口(在want中传入deviceId参数),远程拉起设备A上的应用1。此时,应用1会从本地读取合法应用2的签名信息,而非远程仿冒应用2的签名信息,导致校验绕过,攻击成功。

攻击流程图如下:

cke_745875.png

该攻击可成功的核心原因的是:应用1的校验逻辑未适配分布式场景,仅读取本地设备上目标包名的签名信息,未获取远程拉起场景下调用方的真实签名信息,存在校验遗漏。

三、安全的校验实现方案

解决上述分布式场景校验绕过问题的核心,是获取远程拉起场景下调用方的真实签名信息。鸿蒙系统中,want对象不仅包含调用方的包名信息,还携带调用方的签名相关信息(跨设备拉起时,该签名信息为远程设备上调用方的真实信息,可确保不可篡改)。详见下图。

cke_1565182.png

因此,只需从want对象中同时读取调用方的包名和签名相关信息(如appId),进行联合校验,即可覆盖本地及分布式场景,实现安全校验。

安全校验示例代码如下:

  onCreate(want: Want, launchParam: AbilityConstant.LaunchParam): void {
    hilog.info(DOMAIN, TAG, 'EntryAbility onCreate');
    // 从want中读取调用方包名和签名相关的appId
    const callerBundleName1 = want.parameters?.['ohos.aafwk.param.callerBundleName'];
    const callerAppId = want.parameters?.['ohos.aafwk.param.callerAppId'];

    // 联合校验包名和appId(签名信息)
    if (callerBundleName1 === 'com.example.callerapp' && callerAppId === '123456789') {
      hilog.info(DOMAIN, TAG, 'caller is correct');
      // 执行合法调用后的业务逻辑
    }
  }

四、安全建议

基于上述分析,为保障UIAbility组件的交互安全,结合鸿蒙应用开发场景,提出以下安全编码建议:

  1. 对于无需与其他应用交互的UIAbility,必须显式将exported属性配置为false,杜绝不必要的安全暴露。
  2. 若UIAbility因业务需求必须对外暴露,需对外部传入的所有参数进行充分的合法性校验,防止参数注入、非法数据篡改等攻击。
  3. 若已知UIAbility的合法调用方范围,需对调用方身份进行严格校验,且需满足以下三点要求:
  • 校验逻辑需结合调用方包名与签名信息(如appId),不可仅校验包名;
  • 调用方的包名和签名信息,必须从want对象中直接读取,不可从本地获取(避免分布式场景绕过);
  • 需在onCreateonNewWant两个回调中均实现相同的校验逻辑,确保全场景覆盖。

五、参考文档

其他鸿蒙应用安全编码专题文章参考:https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221