CVE-2026-0068: Android 17 MDM-sårbarhed forklaret
Fejl i Android 17 lader en ondsindet app fjerne virksomhedens sikkerhedsstyring uden administratorens godkendelse.
Hvad er det?
En fejl i Android 17’s installationssystem (PackageInstallerService) gør det muligt at fjerne en DPC-app (Device Policy Controller – den app, der håndhæver virksomhedens sikkerhedspolitikker på en arbejdstelefon) uden at enhedsadministratoren har godkendt det. Fejlen opstår, fordi systemet midlertidigt mister synkroniseringen mellem hukommelse og lagring, hvilket en ondsindet app kan udnytte til at skaffe sig forhøjede rettigheder på enheden. Teknisk kategoriseres det som en race condition (CWE-362), altså en timing-fejl der opstår når to processer tilgår de samme data på samme tid.
Hvem rammer det?
Virksomheder der bruger Android 17-enheder tilmeldt en MDM-løsning (Mobile Device Management – central styring af arbejdstelefoner), fx via Google Workspace, Microsoft Intune eller lignende. Særligt relevant hvis medarbejdere må installere apps fra eksterne kilder, eller hvis enheder bruges til at tilgå virksomhedens systemer, e-mail eller følsomme data.
Hvad kan ske?
En angriber der lokker en medarbejder til at installere en ondsindet app kan:
- Fjerne virksomhedens sikkerhedsstyring (DPC-appen) fra telefonen uden advarsel
- Omgå krav om PIN-kode, kryptering og adgangspolitikker
- Få fuld kontrol over enheden og alt indhold på den, herunder e-mails, filer og adgangskoder
- Potentielt bevæge sig videre ind i virksomhedens netværk via VPN eller andre tilkoblinger
Hvor alvorligt er det?
CVSS-scoren er 7.8 ud af 10 (Alvorlig). Angrebet kræver fysisk eller lokal adgang til enheden og kræver, at brugeren selv installerer den ondsindede app – det sænker risikoen en smule. Til gengæld er kompleksiteten lav, og angriberen behøver ingen særlige rettigheder på forhånd. Konsekvenserne for fortrolighed, integritet og tilgængelighed er alle vurderet som høje, da en vellykket udnyttelse i praksis giver fuld kontrol over enheden.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt:
- Tjek om I bruger Android 17 – Gennemgå jeres MDM-oversigt og identificér alle enheder på Android 17.
- Installér sikkerhedsopdateringen – Så snart Google udgiver en patch via Android Security Bulletin, skal den rulles ud til alle berørte enheder. Prioritér enheder med adgang til følsomme systemer.
- Stram op på app-installation – Bloker installation af apps fra ukendte kilder (sideloading) via jeres MDM-politik, indtil patch er installeret.
- Orientér medarbejdere – Gør medarbejderne opmærksomme på ikke at installere apps de ikke kender, særligt links modtaget via e-mail eller SMS.
- Overvåg MDM-dashboardet – Hold øje med om DPC-appen uventet fjernes fra nogen enheder, da det kan være tegn på udnyttelse.
Patch snarest – inden for 7 dage
Vi anbefaler, at du straks begrænser muligheden for at installere apps fra ukendte kilder på alle virksomhedens Android-enheder via jeres MDM-løsning. Sæt en reminder til at installere Googles kommende sikkerhedsopdatering så snart den er tilgængelig – det er den eneste permanente løsning. Har du ikke en MDM-løsning på plads endnu, er dette et godt tidspunkt at overveje det.
Tidslinje
Konkrete eksempler
Falsk produktivitetsapp via phishing
En medarbejder modtager en e-mail der udgiver sig for at være fra IT-afdelingen med et link til en ‘opdateret version’ af virksomhedens tidsregistreringsapp. Medarbejderen installerer appen, som i baggrunden udnytter CVE-2026-0068 til at fjerne MDM-styringen fra telefonen. Angriberen har nu fuld adgang til e-mails, filer og virksomhedens systemer via den nu ustyrede telefon.
Ondsindet app i tredjeparts app-butik
En medarbejder installerer en gratis spil-app fra en uofficiel app-butik på sin arbejdstelefon. Appen indeholder skjult kode der udnytter race condition-fejlen til at afinstallere DPC-appen. Virksomhedens IT-afdeling opdager det ikke, fordi enheden ikke længere rapporterer til MDM-dashboardet.
Målrettet angreb mod leder med systemadgang
En angriber identificerer en direktør eller økonomimedarbejder med adgang til virksomhedens bank- eller ERP-system via mobilen. Via et skræddersyet phishing-angreb (spear phishing) installeres en ondsindet app, der fjerner sikkerhedsstyringen og giver angriberen adgang til de følsomme systemer uden at virksomhedens MDM-alarm udløses.
Ofte stillede spørgsmål
Hvad er en DPC-app, og hvorfor er det vigtigt at beskytte den?
En DPC-app (Device Policy Controller) er den app, der forbinder din medarbejders telefon til virksomhedens sikkerhedsstyring. Den håndhæver regler som skærmslås, kryptering og begrænsning af hvilke apps der må bruges. Fjernes den, mister virksomheden kontrollen over enheden og de data der ligger på den.
Skal medarbejderen gøre noget aktivt for at blive ramt?
Ja – angriberen skal overbevise medarbejderen om at installere en ondsindet app. Det kan ske via phishing-links, falske app-butikker eller filer sendt over besked-tjenester. Derfor er det vigtigt at advare medarbejderne om ikke at installere apps fra ukendte kilder.
Er kun Android 17 berørt?
Ifølge den tilgængelige information er det bekræftet, at Android 17 er berørt. Der er endnu ikke offentliggjort information om, hvorvidt ældre versioner er sårbare. Hold øje med Googles officielle Android Security Bulletin for opdateringer.
Vi bruger iPhones – er vi også i fare?
Nej, denne sårbarhed er specifik for Android og berører ikke Apple iOS-enheder. Har du en blandet flåde af iPhone- og Android-enheder, er det kun Android 17-enhederne der kræver handling her.
Hvad hvis vi ikke har en MDM-løsning?
Uden MDM har I begrænset mulighed for at opdage eller forhindre udnyttelse centralt. Den vigtigste handling er da at sikre, at installation fra ukendte kilder er slået fra manuelt på hver enhed, og at opdateringer installeres så snart de er tilgængelige. Overvej at indføre en MDM-løsning for bedre fremtidig kontrol.
Ramte produkter
Google — Android
17.0
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
In createSessionInternal of PackageInstallerService.java, there is a possible method to remove a DPC app from a managed device without DO consent due to desync from persistence. This could lead to local escalation of privilege if a user can install a malicious app with no additional execution privileges needed. User interaction is needed for exploitation.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
