CVE-2026-28587: Android 17 SMS-sårbarhed forklaret
Fejl i Android 17 lader apps læse dine SMS og MMS uden tilladelse – opdater din telefon nu.
Hvad er det?
En sikkerhedsfejl i Android 17 gør det muligt for en app på din telefon at læse dine SMS- og MMS-beskeder uden at have fået lov til det. Fejlen sidder i en komponent kaldet MmsSmsProvider, som er ansvarlig for at håndtere adgang til beskeder på enheden. Normalt kræver det en særlig tilladelse at tilgå disse data, men på grund af en manglende kontrol kan en app omgå denne beskyttelse. Det betyder, at en ondsindet app – selv en der tilsyneladende er harmløs – kan hente indholdet af dine beskeder i det skjulte.
Hvem rammer det?
Sårbarheden rammer enheder der kører Google Android version 17.0. Det vil sige medarbejdere og ledere i din virksomhed, der bruger Android-telefoner med denne version. Risikoen er særlig relevant, hvis I bruger Android-enheder til at modtage engangskoder (SMS-bekræftelse / to-faktor-godkendelse), kommunikere med kunder eller forretningspartnere via SMS, eller hvis I har installeret apps fra ukendte eller utroværdige kilder.
Hvad kan ske?
En angriber der har fået en ondsindet app installeret på ofrets telefon, kan i det skjulte læse alle SMS- og MMS-beskeder på enheden. Det kan eksempelvis betyde, at:
- Engangskoder til netbank, lønsystem eller andre systemer bliver opsnappet.
- Fortrolig forretningskommunikation sendt via SMS bliver afsløret.
- Persondata om kunder eller medarbejdere lækker og potentielt udløser en GDPR-sag.
Angrebet kræver ikke, at brugeren gør noget aktivt, og det efterlader ingen synlige spor på enheden.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat alvorlighed (CVSS 5.5 ud af 10). Den kan ikke udnyttes over internettet – angriberen skal have en app kørende på selve enheden. Det begrænser risikoen noget. Til gengæld kræver angrebet meget lidt teknisk snilde: ingen særlige rettigheder, ingen brugerhandling og lav kompleksitet. Konsekvensen er udelukkende datalæk (fortrolighed rammes), ikke at data slettes eller ændres. Samlet set er det en reel risiko der bør håndteres, men du behøver ikke gå i panik.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomheds Android-enheder:
- Opdater alle Android-enheder til den nyeste tilgængelige version via Indstillinger → Sikkerhed → Systemopdatering. Googles sikkerhedspatch til denne fejl forventes i den månedlige Android Security Bulletin.
- Tjek hvilke apps der er installeret på virksomhedens telefoner. Fjern apps fra ukendte udviklere eller apps der ikke bruges aktivt.
- Undgå at installere apps uden for Google Play (såkaldt sideloading). Sørg for at denne indstilling er slået fra på virksomhedens enheder.
- Overvej MDM (Mobile Device Management) hvis I ikke allerede bruger det. Det giver central kontrol over hvilke apps der må installeres på medarbejdernes arbejdstelefoner.
- Informér medarbejderne om ikke at installere ukendte apps, og om vigtigheden af at holde telefonen opdateret.
Opdater inden for 7 dage
Vi anbefaler, at du prioriterer opdatering af alle virksomhedens Android 17-enheder hurtigst muligt. Selv om angrebet kræver lokal adgang, er truslen reel fordi mange medarbejdere installerer apps privat på arbejdstelefoner. Kombinér opdateringen med en hurtig gennemgang af installerede apps og overvej at indføre en politik for mobilenheder, hvis I ikke allerede har én.
Tidslinje
Konkrete eksempler
Ondsindet app opsnapper SMS-koder til netbank
En medarbejder installerer en gratis lommeregner-app fra en uofficiel hjemmeside. Appen indeholder skjult kode der udnytter CVE-2026-28587 til lydløst at kopiere alle indgående SMS-beskeder og sende dem til en ekstern server. Næste gang medarbejderen logger ind på virksomhedens netbank og modtager en engangskode via SMS, har angriberen koden inden medarbejderen selv har nået at bruge den.
Konkurrent tilgår fortrolige kundebeskeder
En sælger i en SMV bruger sin Android-arbejdstelefon til at kommunikere med kunder via SMS. En app med skjult spionkode – f.eks. forklædt som et populært spil – udnytter fejlen til løbende at sende kopier af alle SMS-samtaler til en tredjepart. Fortrolige tilbud, priser og kundeoplysninger havner dermed hos uvedkommende uden at sælgeren opdager det.
Datatyveri fører til GDPR-brud
En klinik eller et advokatkontor kommunikerer med klienter via SMS om følsomme personoplysninger. En ondsindet app på en medarbejders telefon høster disse beskeder over flere uger. Når bruddet opdages, er virksomheden forpligtet til at anmelde det til Datatilsynet inden 72 timer og potentielt underrette de berørte klienter – med risiko for bøde og omdømmeskade til følge.
Ofte stillede spørgsmål
Kan min telefon blive angrebet via internettet?
Nej. Angrebet kræver, at en ondsindet app allerede er installeret og kører på din telefon. En hacker kan ikke udnytte fejlen blot ved at sende dig en besked eller et link udefra.
Er det kun Android 17 der er ramt?
Ifølge de officielle oplysninger er det bekræftet for Android 17.0. Ældre versioner af Android er ikke nævnt i denne CVE, men de kan have andre kendte sårbarheder. Generelt gælder det om at holde alle enheder opdaterede.
Hvad sker der med vores to-faktor-koder, hvis vi er ramt?
Hvis en ondsindet app er installeret og udnytter denne fejl, kan den i teorien læse de engangskoder (OTP) du modtager via SMS. Det betyder, at din ekstra log-in-beskyttelse kan være kompromitteret. Overvej at skifte til en authenticator-app (f.eks. Microsoft Authenticator eller Google Authenticator) i stedet for SMS-koder.
Gælder det også iPhones?
Nej. Denne sårbarhed er specifik for Google Android og påvirker ikke iPhones eller iPads, som kører Apples iOS/iPadOS.
Hvad er en MDM-løsning, og har vi brug for det?
MDM (Mobile Device Management) er et system der giver din IT-afdeling eller leverandør central kontrol over virksomhedens mobilenheder – fx hvilke apps der må installeres, og om enhederne er opdaterede. Har I mere end fem-ti medarbejdere med arbejdstelefoner, er det en god investering der reducerer risici som denne markant.
Kan vi se om vi allerede er blevet angrebet?
Det er desværre svært at opdage, da angrebet ikke efterlader tydelige spor. Gennemgå hvilke apps der har adgang til beskeder under Indstillinger → Apps → Tilladelser. Ser du apps du ikke genkender med adgang til SMS, bør du fjerne dem omgående og kontakte jeres IT-sikkerhedspartner.
Ramte produkter
Google — Android
17.0
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
In MmsSmsProvider of MmsSmsProvider.java, there is a possible way to retrieve sensitive information due to a missing permission check. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
