CVE-2026-28587
Moderat

CVE-2026-28587: Android 17 SMS-sårbarhed forklaret

Fejl i Android 17 lader apps læse dine SMS og MMS uden tilladelse – opdater din telefon nu.

CVSS Score
5.5
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

En sikkerhedsfejl i Android 17 gør det muligt for en app på din telefon at læse dine SMS- og MMS-beskeder uden at have fået lov til det. Fejlen sidder i en komponent kaldet MmsSmsProvider, som er ansvarlig for at håndtere adgang til beskeder på enheden. Normalt kræver det en særlig tilladelse at tilgå disse data, men på grund af en manglende kontrol kan en app omgå denne beskyttelse. Det betyder, at en ondsindet app – selv en der tilsyneladende er harmløs – kan hente indholdet af dine beskeder i det skjulte.

Hvem rammer det?

Sårbarheden rammer enheder der kører Google Android version 17.0. Det vil sige medarbejdere og ledere i din virksomhed, der bruger Android-telefoner med denne version. Risikoen er særlig relevant, hvis I bruger Android-enheder til at modtage engangskoder (SMS-bekræftelse / to-faktor-godkendelse), kommunikere med kunder eller forretningspartnere via SMS, eller hvis I har installeret apps fra ukendte eller utroværdige kilder.

Hvad kan ske?

En angriber der har fået en ondsindet app installeret på ofrets telefon, kan i det skjulte læse alle SMS- og MMS-beskeder på enheden. Det kan eksempelvis betyde, at:

  • Engangskoder til netbank, lønsystem eller andre systemer bliver opsnappet.
  • Fortrolig forretningskommunikation sendt via SMS bliver afsløret.
  • Persondata om kunder eller medarbejdere lækker og potentielt udløser en GDPR-sag.

Angrebet kræver ikke, at brugeren gør noget aktivt, og det efterlader ingen synlige spor på enheden.

Hvor alvorligt er det?

Sårbarheden er vurderet til moderat alvorlighed (CVSS 5.5 ud af 10). Den kan ikke udnyttes over internettet – angriberen skal have en app kørende på selve enheden. Det begrænser risikoen noget. Til gengæld kræver angrebet meget lidt teknisk snilde: ingen særlige rettigheder, ingen brugerhandling og lav kompleksitet. Konsekvensen er udelukkende datalæk (fortrolighed rammes), ikke at data slettes eller ændres. Samlet set er det en reel risiko der bør håndteres, men du behøver ikke gå i panik.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomheds Android-enheder:

  1. Opdater alle Android-enheder til den nyeste tilgængelige version via Indstillinger → Sikkerhed → Systemopdatering. Googles sikkerhedspatch til denne fejl forventes i den månedlige Android Security Bulletin.
  2. Tjek hvilke apps der er installeret på virksomhedens telefoner. Fjern apps fra ukendte udviklere eller apps der ikke bruges aktivt.
  3. Undgå at installere apps uden for Google Play (såkaldt sideloading). Sørg for at denne indstilling er slået fra på virksomhedens enheder.
  4. Overvej MDM (Mobile Device Management) hvis I ikke allerede bruger det. Det giver central kontrol over hvilke apps der må installeres på medarbejdernes arbejdstelefoner.
  5. Informér medarbejderne om ikke at installere ukendte apps, og om vigtigheden af at holde telefonen opdateret.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du prioriterer opdatering af alle virksomhedens Android 17-enheder hurtigst muligt. Selv om angrebet kræver lokal adgang, er truslen reel fordi mange medarbejdere installerer apps privat på arbejdstelefoner. Kombinér opdateringen med en hurtig gennemgang af installerede apps og overvej at indføre en politik for mobilenheder, hvis I ikke allerede har én.

Tidslinje

17/06/2026
CVE offentliggjort
Google og NVD offentliggør CVE-2026-28587 som en del af Androids sikkerhedsopdatering. Fejlen klassificeres som moderat alvorlig med CVSS-score 5.5.
17/06/2026
Proof-of-concept tilgængeligt
Teknisk dokumentation og proof-of-concept-kode er tilgængelig i forbindelse med offentliggørelsen, hvilket gør det muligt for angribere med teknisk indsigt at udnytte fejlen.
17/06/2026
Patch udgivet af Google
Google udgiver en sikkerhedspatch som en del af den månedlige Android Security Bulletin. Opdateringen er tilgængelig for Android 17.0-enheder via den automatiske opdateringskanal.
24/06/2026
Anbefalet deadline for virksomheder
Auroras anbefaling er, at virksomheder har opdateret alle berørte Android-enheder senest en uge efter offentliggørelsen for at minimere eksponeringsvinduet.

Konkrete eksempler

Ondsindet app opsnapper SMS-koder til netbank

En medarbejder installerer en gratis lommeregner-app fra en uofficiel hjemmeside. Appen indeholder skjult kode der udnytter CVE-2026-28587 til lydløst at kopiere alle indgående SMS-beskeder og sende dem til en ekstern server. Næste gang medarbejderen logger ind på virksomhedens netbank og modtager en engangskode via SMS, har angriberen koden inden medarbejderen selv har nået at bruge den.

Konkurrent tilgår fortrolige kundebeskeder

En sælger i en SMV bruger sin Android-arbejdstelefon til at kommunikere med kunder via SMS. En app med skjult spionkode – f.eks. forklædt som et populært spil – udnytter fejlen til løbende at sende kopier af alle SMS-samtaler til en tredjepart. Fortrolige tilbud, priser og kundeoplysninger havner dermed hos uvedkommende uden at sælgeren opdager det.

Datatyveri fører til GDPR-brud

En klinik eller et advokatkontor kommunikerer med klienter via SMS om følsomme personoplysninger. En ondsindet app på en medarbejders telefon høster disse beskeder over flere uger. Når bruddet opdages, er virksomheden forpligtet til at anmelde det til Datatilsynet inden 72 timer og potentielt underrette de berørte klienter – med risiko for bøde og omdømmeskade til følge.

Ofte stillede spørgsmål

Ramte produkter

Google — Android

17.0

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-862

Original NVD-beskrivelse (engelsk)

In MmsSmsProvider of MmsSmsProvider.java, there is a possible way to retrieve sensitive information due to a missing permission check. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
5.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-28587
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.