CVE-2026-0063
Alvorlig

CVE-2026-0063: Kritisk Android 17 rettighedsfejl

En fejl i Android 17 gør det muligt for en app at ophæve SIM-kortbegrænsninger og overtage telefonprivilegier uden din viden.

CVSS Score
7.8
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-0063 er en sikkerhedsfejl i Android 17, der findes i en del af styresystemet, som håndterer SIM-kortbegrænsninger (regler for hvilke mobilnetværk en telefon må bruge). På grund af en logikfejl i koden kan en app med helt normale tilladelser omgå disse regler og skaffe sig udvidede rettigheder på enheden — uden at du behøver trykke på noget eller godkende noget. Det er med andre ord en fejl, der giver en angriber mulighed for at ‘rykke op’ i rettigheder på din telefon uden at skulle bede om lov.

Hvem rammer det?

Sårbarheden rammer enheder, der kører Google Android version 17.0. Det betyder:

  • Medarbejdere i din virksomhed, der bruger Android 17-smartphones til arbejdet
  • Virksomhedstelefoner og BYOD-enheder (medarbejdernes egne telefoner brugt til arbejdsformål)
  • Enheder styret via MDM-løsninger (Mobile Device Management), hvis de kører Android 17

Er din virksomhed endnu ikke på Android 17, er I ikke umiddelbart berørt af netop denne fejl.

Hvad kan ske?

En angriber, der allerede har fået en ondsindet app installeret på en Android 17-enhed, kan udnytte fejlen til at:

  • Eskalere sine rettigheder — appen får adgang til funktioner og data, den normalt ikke måtte røre
  • Ophæve SIM-kortbegrænsninger — telefonen kan tvinges til at fungere på andre netværk eller med andre SIM-kort, f.eks. til omgåelse af virksomhedens netværkspolitikker
  • Tilgå fortrolige oplysninger — med forhøjede rettigheder kan angriberen potentielt læse e-mails, beskeder, adgangskoder og andre data på enheden
  • Ændre enhedens indstillinger — herunder sikkerheds- og kommunikationsindstillinger, der kan åbne for yderligere angreb

Angriberen behøver ikke fysisk adgang til telefonen, men skal have fået en ondsindet app installeret — f.eks. via en phishing-besked eller en usikker app-kilde.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 7.8 ud af 10 (Alvorlig). Den kræver, at angriberen allerede har en app kørende på enheden med almindelige brugerrettigheder — det er den eneste begrænsning. Herefter er angrebet enkelt at gennemføre: lav kompleksitet, ingen brugerinteraktion kræves, og konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet til HØJ. Det er en sårbarhed, der skal tages alvorligt, særligt på enheder med adgang til virksomhedsdata.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed mod CVE-2026-0063:

  1. Opdatér alle Android 17-enheder — Installer Googles sikkerhedsopdatering, så snart den er tilgængelig på den pågældende enhed. Tjek under Indstillinger → Om telefonen → Systemopdateringer.
  2. Lav en liste over berørte enheder — Identificér hvilke medarbejderes telefoner der kører Android 17, herunder både virksomhedstelefoner og BYOD-enheder.
  3. Gennemgå installerede apps — Sørg for, at medarbejdere kun installerer apps fra Google Play Store, og overvej at aktivere Play Protect-scanning.
  4. Stram op via MDM — Har I en MDM-løsning (f.eks. Microsoft Intune eller VMware Workspace ONE), så sæt en politik om, at enheder uden seneste sikkerhedsopdatering ikke må tilgå virksomhedsressourcer.
  5. Informér medarbejderne — Send en kort besked om, at de skal opdatere deres Android-telefon, og at de ikke må installere apps uden for officielle kanaler.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du prioriterer opdatering af alle Android 17-enheder i din virksomhed inden for den næste uge. Fejlen er teknisk relativt enkel at udnytte, når en angriber først har foden inden for — og med den stigende brug af mobile enheder til arbejdsformål er risikoen reel. Kombinér opdateringen med en gennemgang af jeres MDM-politik, så I sikrer, at kun patchede enheder har adgang til virksomhedens systemer og data fremover.

Tidslinje

17/06/2026
CVE-2026-0063 offentliggjort
Google og NVD offentliggør sårbarheden som en del af Androids månedlige sikkerhedsbulletin. Fejlen beskrives som en logikfejl i håndteringen af SIM-kortbegrænsninger i Android 17.
17/06/2026
Patch frigivet af Google
Google udgiver en sikkerhedsopdatering til Android 17 som del af den månedlige Android Security Bulletin. Opdateringen er tilgængelig for Pixel-enheder med det samme, mens andre producenter rulles ud efterfølgende.
20/06/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere offentliggør teknisk dokumentation og proof-of-concept kode, der demonstrerer, hvordan fejlen kan udnyttes til at eskalere rettigheder på en upatchet Android 17-enhed.
24/06/2026
Tredjepartsproducenter begynder udrulning
Samsung, OnePlus og andre Android-producenter begynder at udsende sikkerhedsopdateringer til deres enheder med Android 17. Tidspunktet for modtagelse varierer fra model til model.

Konkrete eksempler

Ondsindet app ophæver netværksbegrænsninger

En medarbejder downloader en tilsyneladende harmløs produktivitetsapp fra en uofficiel hjemmeside. Appen indeholder skjult kode, der udnytter CVE-2026-0063 til at ophæve telefonens SIM-kortbegrænsninger og skaffe sig systemrettigheder. Angriberen kan nu overvåge virksomhedens data på telefonen og potentielt omdirigere kommunikation gennem et usikkert netværk uden at medarbejderen opdager noget.

Phishing-angreb som indgang

En medarbejder modtager en SMS, der ser ud til at komme fra IT-afdelingen, med en opfordring til at installere en ‘vigtig opdatering’ via et link. Den installerede fil er i virkeligheden en ondsindet app, der straks udnytter fejlen til at eskalere sine rettigheder. Med de forhøjede rettigheder tilgår appen virksomhedens e-mailkonto og eksporterer fortrolig korrespondance til en ekstern server.

Omgåelse af MDM-sikkerhedspolitik

En angriber får installeret en app på en medarbejders Android 17-telefon, der er tilmeldt virksomhedens MDM-løsning. Ved hjælp af CVE-2026-0063 eskalerer appen sine rettigheder og ændrer telefonens netværksindstillinger, så den omgår virksomhedens VPN-krav. Enheden fremstår som compliant i MDM-systemet, mens data i virkeligheden sendes usikkert uden om virksomhedens sikkerhedsfiltre.

Ofte stillede spørgsmål

Ramte produkter

Google — Android

17.0

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-269

Original NVD-beskrivelse (engelsk)

In setAllowedCarriers of PhoneInterfaceManager.java, there is a possible way to disable carrier restrictions due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-0063
Offentliggjort
17/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.