CVE-2026-0071
Alvorlig

CVE-2026-0071: Kritisk Android 17-sårbarhed forklaret

Fejl i Android 17 giver apps mulighed for at overtage din telefon uden din tilladelse.

CVSS Score
7.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-0071 er en sikkerhedsfejl i Android 17’s indstillingsbibliotek (SettingsLib). På grund af en logikfejl i koden mangler der en vigtig tilladelseskontrol (en kontrol der sikrer, at kun autoriserede apps må ændre systemindstillinger). Det betyder, at en app med begrænsede rettigheder kan snige sig til at udføre handlinger, som normalt kræver administratorrettigheder. Angriberen behøver ikke din hjælp — ingen knapper at klikke, ingen links at følge.

Hvem rammer det?

Fejlen rammer alle enheder, der kører Android 17. Det betyder:

  • Medarbejdere med Android 17-smartphones eller -tablets brugt i arbejdssammenhæng
  • Virksomheder der bruger Android-enheder til fx salg, logistik, kundeservice eller fjernadgang til systemer
  • Organisationer der tillader BYOD (medarbejdere bruger egne telefoner til arbejde)

Har din virksomhed Android-enheder i omløb, bør du handle.

Hvad kan ske?

En ondsindet app — fx en tilsyneladende harmløs app downloadet uden for Google Play — kan udnytte fejlen til at:

  • Overtage kontrollen over telefonen og ændre systemindstillinger
  • Tilgå fortrolige data som e-mails, adgangskoder og virksomhedsfiler
  • Installere yderligere skadelig software uden din viden
  • Låse dig ude af enheden eller slette data

Konsekvenserne for fortrolighed, dataintegritet og tilgængelighed vurderes alle som høje ifølge CVSSv3-standarden.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7,8 ud af 10 (Alvorlig) på den internationale CVSS-skala. Det er en høj score, og her er grunden:

  • Ingen brugerinteraktion kræves — angriberen behøver ikke narre dig til at gøre noget
  • Lav angrebskompleksitet — det er ikke svært at udnytte fejlen
  • Fuld kontrol — angriberen kan potentielt læse, ændre og slette alt på enheden

Det eneste, der begrænser risikoen lidt, er, at angrebet kræver lokal adgang — dvs. en app skal allerede være installeret på telefonen.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er en prioriteret handlingsliste til dig som virksomhedsleder:

  1. Opdater alle Android 17-enheder straks — tjek om der er en sikkerhedsopdatering fra Google eller enhedsproducenten, og installer den.
  2. Kortlæg jeres Android-enheder — få overblik over hvilke medarbejdertelefoner og -tablets der kører Android 17, herunder BYOD-enheder.
  3. Begræns app-installationer — sørg for at medarbejdere kun installerer apps fra Google Play og ikke fra ukendte kilder.
  4. Gennemgå jeres MDM-politik — hvis I bruger et Mobile Device Management-system (et system til central styring af mobiler), så sørg for at sikkerhedspolitikker håndhæves på alle enheder.
  5. Informér medarbejderne — gør dem opmærksomme på risikoen ved at installere ukendte apps, indtil enheden er opdateret.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du prioriterer opdatering af alle Android 17-enheder i din organisation inden for den næste uge. Fejlen er nem at udnytte, og konsekvenserne ved et angreb er alvorlige — især hvis enhederne bruges til at tilgå virksomhedens systemer eller data. Har du ikke styr på hvilke enheder dine medarbejdere bruger, er dette et godt tidspunkt at få kortlagt det og indføre en klar mobilsikkerhedspolitik.

Tidslinje

17/06/2026
CVE offentliggjort
Google og NVD offentliggør CVE-2026-0071 som en del af Androids sikkerhedsbulletin for juni 2026. Sårbarheden tildeles CVSS-score 7,8 (Alvorlig).
17/06/2026
Sikkerhedspatch udgivet
Google udgiver en sikkerhedsopdatering til Android 17, der adresserer fejlen i SettingsLib. Enhedsproducenter begynder udrulning til egne enheder.
18/06/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere offentliggør teknisk dokumentation og proof-of-concept kode, der demonstrerer, hvordan fejlen kan udnyttes til rettighedseskalering.
24/06/2026
Udrulning til enheder forventes afsluttet
De fleste større Android-enhedsproducenter forventes at have udsendt opdateringen over-the-air. Enheder der ikke har modtaget opdatering bør kontrolleres manuelt.

Konkrete eksempler

Skjult app overtager lagermedarbejderens tablet

En medarbejder i en logistikvirksomhed downloader en gratis produktivitetsapp fra et ukendt website til sin Android 17-tablet. Appen indeholder skjult kode, der udnytter CVE-2026-0071 til at eskalere sine egne rettigheder. Angriberen kan nu tilgå virksomhedens lagerdata og kundeoplysninger, der er tilgængelige via tabletten, uden at medarbejderen opdager noget.

Ondsindet app installeret via phishing-link

En sælger modtager en SMS med et link til en ‘opdatering’ af en app, de kender. De installerer filen direkte (uden om Google Play). Appen udnytter fejlen og giver angriberen fuld kontrol over telefonen, herunder adgang til virksomhedens CRM-system og e-mailindbakke, som sælgeren er logget ind på.

Kompromitteret telefon bruges som springbræt

En medarbejders privattelefon med Android 17 bruges til at tilgå virksomhedens interne systemer via VPN (BYOD). En ondsindet app har allerede udnyttet CVE-2026-0071 og givet angriberen administratorrettigheder på telefonen. Angriberen bruger den aktive VPN-forbindelse som indgang til virksomhedens netværk og kan bevæge sig videre til interne servere og filer.

Ofte stillede spørgsmål

Ramte produkter

Google — Android

17.0

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-862

Original NVD-beskrivelse (engelsk)

In SettingsLib, there is a possible missing permission check due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-0071
Offentliggjort
17/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.