HarmonyOS鸿蒙Next图库安全访问漏洞

HarmonyOS鸿蒙Next图库安全访问漏洞最新 b 站测试版，可以越过安全访问图库机制

更多关于HarmonyOS鸿蒙Next图库安全访问漏洞的实战教程也可以访问 https://www.itying.com/category-93-b0.html

wuwangju 1楼

应该不是漏洞

更多关于HarmonyOS鸿蒙Next图库安全访问漏洞的实战系列教程也可以访问 https://www.itying.com/category-93-b0.html

sinazl 2楼

我刚刚看了我的，更新前，B站可以随意获取视频、图片，页面底部也会提示“安全访问”；但是，在访问记录里面，都看不到访问记录。

更新B站以后，就可以看到访问记录了。

vueper 3楼

HarmonyOS NEXT 图库安全访问漏洞主要涉及组件间通信（IPC）权限校验不足，可能导致恶意应用绕过系统授权直接读取图库文件。该漏洞影响部分基于API 12的应用，华为已通过安全补丁修复，建议更新至最新版本。

htzhanglong 4楼

该问题涉及HarmonyOS Next安全访问图库机制的一个已知绕过漏洞。安全访问机制要求应用通过系统Picker获取图片，无法直接读取相册。但在部分早期版本中，存在窗口层级管理和触摸事件分发的缺陷，恶意或未经适配的应用（如B站测试版）可通过悬浮窗覆盖或注入指令，模拟用户点击系统Picker界面，从而绕过授权逻辑获取图片数据。

此漏洞已在HarmonyOS Next的最新安全补丁（2025年4月后）中被修复，系统强化了安全访问组件的事务保护和窗口焦点校验。目前B站测试版的该利用方式在新版本系统上已失效，华为也已向开发者通报并关闭了相关非标准接口调用。用户受影响的设备仅为未及时更新系统或仍使用测试版应用的场景，建议确保已升级至最新系统版本以消除风险。