CVE-2026-28576: SQL-injection i Android 17 Kontakter
Fejl i Android 17 giver apps adgang til dine kontakter via SQL-injection uden særlige tilladelser.
Hvad er det?
CVE-2026-28576 er en sårbarhed i Android 17’s Contacts Provider — den del af systemet, der styrer adgang til din kontaktliste. Fejlen er en såkaldt SQL-injection (en teknik hvor en angriber sniger ekstra databasekommandoer ind i en forespørgsel), som gør det muligt for en ondsindet app at læse hele kontaktdatabasen uden at have fået lov til det. Angrebet kræver ingen særlige systemrettigheder og ingen handling fra brugeren — appen skal blot være installeret på telefonen.
Hvem rammer det?
Sårbarheden rammer enheder, der kører Android 17. Det betyder:
- Medarbejdere i din virksomhed med Android 17-smartphones eller -tablets
- Virksomheder der bruger Android-enheder til kundeservice, salg eller feltarbejde
- Alle der har forretningskontakter, kunderelationer eller følsomme persondata gemt i telefonens kontaktliste
Er I endnu ikke på Android 17, er I ikke direkte berørt af netop denne sårbarhed.
Hvad kan ske?
En skadelig app — for eksempel en tilsyneladende uskyldig gratis app downloadet uden for Google Play — kan udnytte fejlen til at læse hele din kontaktliste, herunder navne, telefonnumre, e-mailadresser og andre oplysninger gemt på enheden. Det kan føre til:
- Lækage af kundedata og forretningskontakter til uvedkommende
- Brud på GDPR-reglerne, hvis persondata kompromitteres (en databrudshændelse skal anmeldes til Datatilsynet inden 72 timer)
- Målrettede phishing- eller svindelforsøg mod dine kontakter
Angrebet er lokalt, dvs. appen skal allerede være installeret — en angriber kan ikke udnytte fejlen direkte fra internettet.
Hvor alvorligt er det?
CVSS-scoren er 5,5 ud af 10 (Moderat). Sårbarheden påvirker kun fortrolighed (dine data kan læses), ikke systemets stabilitet eller muligheden for at ændre data. At angrebet er lokalt — appen skal installeres på enheden — begrænser risikoen sammenlignet med fjernangreb. Alligevel er konsekvensen alvorlig for virksomheder med persondataansvar, da kontaktdata typisk er beskyttede personoplysninger under GDPR.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Tjek Android-version: Gå til Indstillinger → Om telefon → Android-version på alle virksomhedens enheder og notér, hvilke der kører Android 17.
- Installér sikkerhedsopdateringer straks: Når Google udsender en patch til Android 17, skal den installeres hurtigst muligt. Gå til Indstillinger → Systemopdatering og tjek for ventende opdateringer.
- Gennemgå installerede apps: Sørg for, at medarbejdere kun installerer apps fra Google Play og godkendte forretningskilder. Fjern apps fra ukendte udviklere.
- Aktivér app-begrænsninger via MDM: Bruger I et Mobile Device Management-system (MDM — software til centralstyring af mobiler), kan I begrænse, hvilke apps der må installeres på virksomhedens enheder.
- Informér medarbejderne: Send en kort besked om ikke at installere nye apps, før opdateringen er på plads.
Opdater så snart patch er tilgængelig
Hold øje med Googles månedlige Android-sikkerhedsbulletiner, og installer opdateringen til Android 17, så snart den er tilgængelig. I mellemtiden bør I sikre, at kun godkendte apps er installeret på virksomhedens enheder — helst via et MDM-system. Da kontaktdata er personoplysninger, anbefaler vi desuden, at I dokumenterer jeres håndtering af denne sårbarhed som en del af jeres GDPR-risikovurdering, så I er forberedt, hvis Datatilsynet stiller spørgsmål.
Tidslinje
Konkrete eksempler
Skadelig app fra tredjepart stjæler kontakter
En medarbejder downloader en gratis produktivitetsapp fra en uofficiel hjemmeside. Appen indeholder skjult kode, der udnytter SQL-injection-fejlen til at forespørge Androids kontaktdatabase og sende hele kontaktlisten til en ekstern server. Virksomhedens kundedata er nu i hænderne på en ukendt tredjepart — uden at medarbejderen har gjort noget mærkeligt.
Populær app opdateres med ondsindet kode
En app, som medarbejderne har brugt i årevis, udgiver en opdatering, der indeholder skadelig kode (et såkaldt supply chain-angreb). Den opdaterede app udnytter sårbarheden til lydløst at kopiere kontaktlisten, inden virksomheden når at reagere. Fordi appen kommer fra en betroet kilde, vækker den ingen mistanke.
Konkurrent eller spion kortlægger forretningsnetværk
En målrettet angriber distribuerer en tilsyneladende harmløs app til ansatte i en specifik branche. Via SQL-injection-fejlen udtrækker appen navne og kontaktoplysninger på virksomhedens kunder, leverandører og partnere. Disse oplysninger bruges til at kortlægge virksomhedens netværk og planlægge yderligere angreb eller konkurrencemæssig spionage.
Ofte stillede spørgsmål
Skal jeg være bekymret, hvis mine medarbejdere bruger private telefoner til arbejde (BYOD)?
Ja, det bør I forholde jer til. Bruger medarbejdere private Android 17-telefoner til at opbevare arbejdsrelaterede kontakter, gælder risikoen også dem. Overvej at stille krav om, at private enheder med adgang til virksomhedsdata følger jeres opdateringspolitik.
Kan angrebet ske uden at jeg opdager det?
Ja, desværre. En ondsindet app kan udlæse kontaktdatabasen i baggrunden uden synlige tegn. Der vises ingen advarsel, og brugeren behøver ikke at gøre noget. Det understreger vigtigheden af kun at installere apps fra betroede kilder.
Er det et brud på GDPR, hvis en app udnytter denne sårbarhed?
Sandsynligvis ja, hvis kontaktlisten indeholder personoplysninger på kunder, samarbejdspartnere eller medarbejdere. Et databrud skal som udgangspunkt anmeldes til Datatilsynet inden 72 timer. Sørg for at have en beredskabsplan klar, og dokumentér, at I har truffet rimelige sikkerhedsforanstaltninger.
Hvad er SQL-injection, og hvorfor er det farligt?
SQL-injection er en teknik, hvor en angriber sniger ekstra kommandoer ind i en databaseforespørgsel ved at udnytte en programmeringsfejl. I dette tilfælde kan en app bruge teknikken til at bede Androids kontaktdatabase om at udlevere data, den normalt ikke måtte se. Det er farligt, fordi det omgår de adgangskontroller, der ellers beskytter dine data.
Hvad hvis vi ikke kan opdatere enhederne med det samme?
Som midlertidig foranstaltning bør I undgå at installere nye apps, tjekke at eksisterende apps er fra kendte og betroede udviklere, og overveje at fjerne kontaktdata fra enheder, hvor opdateringen ikke kan foretages hurtigt. Et MDM-system kan hjælpe med at håndhæve disse begrænsninger centralt.
Ramte produkter
Google — Android
17.0
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
In Contacts Provider, there is a possible way to access the contacts database due to SQL injection. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
