CVE-2026-0068
Alvorlig

CVE-2026-0068: Android 17 MDM-sårbarhed forklaret

Fejl i Android 17 lader en ondsindet app fjerne virksomhedens sikkerhedsstyring uden administratorens godkendelse.

CVSS Score
7.8
Offentliggjort
17/06/2026
Patch-status
in_development
Exploit
theoretical
Tidsfrist
Patch snarest – inden for 7 dage

Hvad er det?

En fejl i Android 17’s installationssystem (PackageInstallerService) gør det muligt at fjerne en DPC-app (Device Policy Controller – den app, der håndhæver virksomhedens sikkerhedspolitikker på en arbejdstelefon) uden at enheds­administratoren har godkendt det. Fejlen opstår, fordi systemet midlertidigt mister synkroniseringen mellem hukommelse og lagring, hvilket en ondsindet app kan udnytte til at skaffe sig forhøjede rettigheder på enheden. Teknisk kategoriseres det som en race condition (CWE-362), altså en timing-fejl der opstår når to processer tilgår de samme data på samme tid.

Hvem rammer det?

Virksomheder der bruger Android 17-enheder tilmeldt en MDM-løsning (Mobile Device Management – central styring af arbejdstelefoner), fx via Google Workspace, Microsoft Intune eller lignende. Særligt relevant hvis medarbejdere må installere apps fra eksterne kilder, eller hvis enheder bruges til at tilgå virksomhedens systemer, e-mail eller følsomme data.

Hvad kan ske?

En angriber der lokker en medarbejder til at installere en ondsindet app kan:

  • Fjerne virksomhedens sikkerhedsstyring (DPC-appen) fra telefonen uden advarsel
  • Omgå krav om PIN-kode, kryptering og adgangspolitikker
  • Få fuld kontrol over enheden og alt indhold på den, herunder e-mails, filer og adgangskoder
  • Potentielt bevæge sig videre ind i virksomhedens netværk via VPN eller andre tilkoblinger

Hvor alvorligt er det?

CVSS-scoren er 7.8 ud af 10 (Alvorlig). Angrebet kræver fysisk eller lokal adgang til enheden og kræver, at brugeren selv installerer den ondsindede app – det sænker risikoen en smule. Til gengæld er kompleksiteten lav, og angriberen behøver ingen særlige rettigheder på forhånd. Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet som høje, da en vellykket udnyttelse i praksis giver fuld kontrol over enheden.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt:

  1. Tjek om I bruger Android 17 – Gennemgå jeres MDM-oversigt og identificér alle enheder på Android 17.
  2. Installér sikkerhedsopdateringen – Så snart Google udgiver en patch via Android Security Bulletin, skal den rulles ud til alle berørte enheder. Prioritér enheder med adgang til følsomme systemer.
  3. Stram op på app-installation – Bloker installation af apps fra ukendte kilder (sideloading) via jeres MDM-politik, indtil patch er installeret.
  4. Orientér medarbejdere – Gør medarbejderne opmærksomme på ikke at installere apps de ikke kender, særligt links modtaget via e-mail eller SMS.
  5. Overvåg MDM-dashboardet – Hold øje med om DPC-appen uventet fjernes fra nogen enheder, da det kan være tegn på udnyttelse.
Tidsfrist

Patch snarest – inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du straks begrænser muligheden for at installere apps fra ukendte kilder på alle virksomhedens Android-enheder via jeres MDM-løsning. Sæt en reminder til at installere Googles kommende sikkerhedsopdatering så snart den er tilgængelig – det er den eneste permanente løsning. Har du ikke en MDM-løsning på plads endnu, er dette et godt tidspunkt at overveje det.

Tidslinje

17/06/2026
CVE offentliggjort
CVE-2026-0068 registreres officielt i NVD og tildeles en CVSS-score på 7.8 (Alvorlig). Fejlen beskrives i PackageInstallerService i Android 17.
17/06/2026
Tekniske detaljer tilgængelige
Den tekniske beskrivelse af sårbarheden er offentligt tilgængelig, hvilket øger risikoen for, at angribere begynder at undersøge mulighederne for udnyttelse.
09/07/2026
Afventende patch fra Google
Google forventes at udgive en rettelse via den månedlige Android Security Bulletin. Dato er endnu ikke bekræftet på offentliggørelsestidspunktet.

Konkrete eksempler

Falsk produktivitetsapp via phishing

En medarbejder modtager en e-mail der udgiver sig for at være fra IT-afdelingen med et link til en ‘opdateret version’ af virksomhedens tidsregistreringsapp. Medarbejderen installerer appen, som i baggrunden udnytter CVE-2026-0068 til at fjerne MDM-styringen fra telefonen. Angriberen har nu fuld adgang til e-mails, filer og virksomhedens systemer via den nu ustyrede telefon.

Ondsindet app i tredjeparts app-butik

En medarbejder installerer en gratis spil-app fra en uofficiel app-butik på sin arbejdstelefon. Appen indeholder skjult kode der udnytter race condition-fejlen til at afinstallere DPC-appen. Virksomhedens IT-afdeling opdager det ikke, fordi enheden ikke længere rapporterer til MDM-dashboardet.

Målrettet angreb mod leder med systemadgang

En angriber identificerer en direktør eller økonomimedarbejder med adgang til virksomhedens bank- eller ERP-system via mobilen. Via et skræddersyet phishing-angreb (spear phishing) installeres en ondsindet app, der fjerner sikkerhedsstyringen og giver angriberen adgang til de følsomme systemer uden at virksomhedens MDM-alarm udløses.

Ofte stillede spørgsmål

Ramte produkter

Google — Android

17.0

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-362

Original NVD-beskrivelse (engelsk)

In createSessionInternal of PackageInstallerService.java, there is a possible method to remove a DPC app from a managed device without DO consent due to desync from persistence. This could lead to local escalation of privilege if a user can install a malicious app with no additional execution privileges needed. User interaction is needed for exploitation.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-0068
Offentliggjort
17/06/2026
Sidst opdateret
18/06/2026
Exploit-status
theoretical
Patch-status
in_development
Tidsfrist
Patch snarest – inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.