CVE-2026-0071: Kritisk Android 17-sårbarhed forklaret
Fejl i Android 17 giver apps mulighed for at overtage din telefon uden din tilladelse.
Hvad er det?
CVE-2026-0071 er en sikkerhedsfejl i Android 17’s indstillingsbibliotek (SettingsLib). På grund af en logikfejl i koden mangler der en vigtig tilladelseskontrol (en kontrol der sikrer, at kun autoriserede apps må ændre systemindstillinger). Det betyder, at en app med begrænsede rettigheder kan snige sig til at udføre handlinger, som normalt kræver administratorrettigheder. Angriberen behøver ikke din hjælp — ingen knapper at klikke, ingen links at følge.
Hvem rammer det?
Fejlen rammer alle enheder, der kører Android 17. Det betyder:
- Medarbejdere med Android 17-smartphones eller -tablets brugt i arbejdssammenhæng
- Virksomheder der bruger Android-enheder til fx salg, logistik, kundeservice eller fjernadgang til systemer
- Organisationer der tillader BYOD (medarbejdere bruger egne telefoner til arbejde)
Har din virksomhed Android-enheder i omløb, bør du handle.
Hvad kan ske?
En ondsindet app — fx en tilsyneladende harmløs app downloadet uden for Google Play — kan udnytte fejlen til at:
- Overtage kontrollen over telefonen og ændre systemindstillinger
- Tilgå fortrolige data som e-mails, adgangskoder og virksomhedsfiler
- Installere yderligere skadelig software uden din viden
- Låse dig ude af enheden eller slette data
Konsekvenserne for fortrolighed, dataintegritet og tilgængelighed vurderes alle som høje ifølge CVSSv3-standarden.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7,8 ud af 10 (Alvorlig) på den internationale CVSS-skala. Det er en høj score, og her er grunden:
- Ingen brugerinteraktion kræves — angriberen behøver ikke narre dig til at gøre noget
- Lav angrebskompleksitet — det er ikke svært at udnytte fejlen
- Fuld kontrol — angriberen kan potentielt læse, ændre og slette alt på enheden
Det eneste, der begrænser risikoen lidt, er, at angrebet kræver lokal adgang — dvs. en app skal allerede være installeret på telefonen.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er en prioriteret handlingsliste til dig som virksomhedsleder:
- Opdater alle Android 17-enheder straks — tjek om der er en sikkerhedsopdatering fra Google eller enhedsproducenten, og installer den.
- Kortlæg jeres Android-enheder — få overblik over hvilke medarbejdertelefoner og -tablets der kører Android 17, herunder BYOD-enheder.
- Begræns app-installationer — sørg for at medarbejdere kun installerer apps fra Google Play og ikke fra ukendte kilder.
- Gennemgå jeres MDM-politik — hvis I bruger et Mobile Device Management-system (et system til central styring af mobiler), så sørg for at sikkerhedspolitikker håndhæves på alle enheder.
- Informér medarbejderne — gør dem opmærksomme på risikoen ved at installere ukendte apps, indtil enheden er opdateret.
Opdatér inden for 7 dage
Auroa anbefaler, at du prioriterer opdatering af alle Android 17-enheder i din organisation inden for den næste uge. Fejlen er nem at udnytte, og konsekvenserne ved et angreb er alvorlige — især hvis enhederne bruges til at tilgå virksomhedens systemer eller data. Har du ikke styr på hvilke enheder dine medarbejdere bruger, er dette et godt tidspunkt at få kortlagt det og indføre en klar mobilsikkerhedspolitik.
Tidslinje
Konkrete eksempler
Skjult app overtager lagermedarbejderens tablet
En medarbejder i en logistikvirksomhed downloader en gratis produktivitetsapp fra et ukendt website til sin Android 17-tablet. Appen indeholder skjult kode, der udnytter CVE-2026-0071 til at eskalere sine egne rettigheder. Angriberen kan nu tilgå virksomhedens lagerdata og kundeoplysninger, der er tilgængelige via tabletten, uden at medarbejderen opdager noget.
Ondsindet app installeret via phishing-link
En sælger modtager en SMS med et link til en ‘opdatering’ af en app, de kender. De installerer filen direkte (uden om Google Play). Appen udnytter fejlen og giver angriberen fuld kontrol over telefonen, herunder adgang til virksomhedens CRM-system og e-mailindbakke, som sælgeren er logget ind på.
Kompromitteret telefon bruges som springbræt
En medarbejders privattelefon med Android 17 bruges til at tilgå virksomhedens interne systemer via VPN (BYOD). En ondsindet app har allerede udnyttet CVE-2026-0071 og givet angriberen administratorrettigheder på telefonen. Angriberen bruger den aktive VPN-forbindelse som indgang til virksomhedens netværk og kan bevæge sig videre til interne servere og filer.
Ofte stillede spørgsmål
Hvordan ved jeg, om mine medarbejderes telefoner kører Android 17?
Bed medarbejderne gå ind under Indstillinger → Om telefonen → Android-version. Står der 17, er enheden berørt. Bruger I et MDM-system, kan I trække en rapport over alle enheder og deres operativsystemversioner.
Er det nok at opdatere telefonen?
Ja, en sikkerhedsopdatering fra Google eller enhedsproducenten vil lukke denne sårbarhed. Det er vigtigt at installere opdateringen så hurtigt som muligt og ikke udskyde den. Tjek regelmæssigt under Indstillinger → Sikkerhed → Sikkerhedsopdatering.
Kan vi blive ramt, selvom vi kun bruger Google Play?
Risikoen er lavere, men ikke nul. Google Play screener apps, men ondsindede apps kan i sjældne tilfælde slippe igennem. Den største risiko er apps installeret fra andre kilder. Begræns installationer til Google Play og hold enheder opdaterede.
Hvad gør vi, hvis vi tror, en enhed allerede er kompromitteret?
Fjern enheden fra virksomhedens netværk og systemer øjeblikkeligt. Kontakt jeres IT-ansvarlige eller en cybersikkerhedsrådgiver. En fabriksnulstilling af telefonen kan være nødvendig, men gennemfør en vurdering først, så eventuelle beviser ikke går tabt.
Gælder fejlen også for ældre Android-versioner?
Ifølge de tilgængelige oplysninger er det kun Android 17, der er bekræftet berørt af denne specifikke fejl. Ældre versioner kan have andre kendte sårbarheder, og generelt anbefaler vi altid at holde alle enheder opdateret til seneste sikkerhedspatch.
Skal vi indberette dette til Datatilsynet, hvis vi bliver ramt?
Hvis en angriber har fået adgang til personoplysninger via sårbarheden, kan det udgøre et brud på persondatasikkerheden (databrud), som skal vurderes og potentielt anmeldes til Datatilsynet inden for 72 timer. Kontakt jeres databeskyttelsesrådgiver (DPO) ved mistanke om et angreb.
Ramte produkter
Google — Android
17.0
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
In SettingsLib, there is a possible missing permission check due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
