Open Handset Alliance Android签名验证本地特权提升漏洞

Bugraq ID: 35090
CVE ID：CVE-2009-1754
CNCVE ID：CNCVE-20091754

Open Handset Alliance Android是一款超过30家科技与移动电话公司所组成的团体开发的免费的移动电话平台。
当安装包请求共享用户ID(UID)权限时Android不正确检查开发者证书，本地攻击者可以利用漏洞提升特权。
一般情况下，如果安装包签署了相同的开发者证书并在安装时间请求权限，Android应用程序允许共享一个UID，这允许来自相同作者的安装包共享数据。存在漏洞允许任意以此行为安装的应用程序获得对其他(已存在)应用程序数据的访问。

Open Handset Alliance Android 1.5 CRB-42
可参考如下补丁程序：
<a href=“http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commit;h=5d6d773fab559fdc12e553d60d789f3991ac552c” target=“_blank”>http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commit;h=5d6d773fab559fdc12e553d60d789f3991ac552c</a>