Morten Lyhne Petersen
En kritisk Android-fejl lader hackere køre kode på din telefon uden et eneste tryk.
Hullet med betegnelsen CVE-2026-0073 sidder i selve Android-systemet og rammer telefoner med Android 14, 15 og 16. Google har klassificeret sårbarheden som kritisk i sin sikkerhedsbulletin for maj 2026, der blev offentliggjort 4. maj og senere opdateret 7. maj.
Det særlige ved fejlen er, at den er såkaldt zero-click. Begrebet dækker over, at en angriber ikke behøver at lokke offeret til at trykke på et link, åbne en vedhæftet fil eller installere en app. At telefonen er tændt og befinder sig på samme netværk eller inden for trådløs rækkevidde af angriberen er nok.
Fejl i debug-værktøj giver fremmed adgang
Sårbarheden ligger i adbd, baggrundsprocessen bag Android Debug Bridge, som udviklere normalt bruger til at sende kommandoer til en telefon over USB eller trådløst. Ifølge Googles egen beskrivelse kan en angriber inden for samme netværk eller fysisk nærhed udføre kode på enheden som shell-bruger uden behov for yderligere tilladelser.
Det giver i praksis fremmed adgang til at omgå app-sandkassen, læse data fra andre processer og potentielt skabe et vedvarende fodfæste på enheden. Google har samtidig oplyst, at der ved offentliggørelsen ikke var tegn på aktiv udnyttelse af hullet.
Pixel først, Samsung og andre i kø
Telefoner med sikkerhedsniveau 2026-05-01 eller nyere er beskyttede. Rettelsen ruller ud via Project Mainline, en teknik der lader Google opdatere udvalgte dele af Android direkte gennem Google Play uden om producenternes og teleselskabernes godkendelse.
Pixel-modellerne får opdateringen først efter offentliggørelsen den 5. maj. Samsung og øvrige producenter ruller den ud løbende gennem maj og juni 2026, hvilket betyder at langt de fleste danske Android-brugere er sårbare indtil de selv installerer maj-opdateringen.
Sådan tjekker du niveauet og tvinger opdateringen igennem
På en Pixel åbnes Indstillinger, hvorefter du scroller ned til “Om telefonen” og trykker på “Android-version”. Sikkerhedsniveauet står øverst på skærmen.
På en Samsung Galaxy går du fra Indstillinger ind på “Om telefonen”, derefter “Softwareoplysninger”. Datoen finder du i bunden af listen.
På en OnePlus ligger oplysningen typisk i Indstillinger under “Om enheden” og dernæst “Android-version”.
Står der 1. maj 2026 eller en senere dato ud for sikkerhedsniveauet, er hullet lukket. Ellers bør du gå tilbage til Indstillinger, vælge “Softwareopdatering” og trykke “Søg efter opdatering”. Fordi fejlen sidder i en Project Mainline-komponent, kan selv ældre modeller modtage rettelsen via Google Play System Update, som ligger under “Sikkerhed og privatliv”.
