CVE-2026-0083: Kritisk Android 17 NFC-sårbarhed
Fejl i Androids NFC-kode kan give angriber fuld kontrol over din telefon uden din hjælp.
Hvad er det?
CVE-2026-0083 er en sikkerhedsfejl i Android 17’s NFC-komponent (Near Field Communication – den teknologi der bruges til kontaktløs betaling og datadeling). Fejlen opstår på grund af en såkaldt race condition (en timing-fejl, hvor to processer forsøger at tilgå den samme hukommelse på præcis det forkerte tidspunkt), som fører til et use-after-free-problem (programmet bruger hukommelse, det allerede har frigivet, hvilket kan få det til at opføre sig uforudsigeligt). En angriber med begrænset adgang til enheden kan udnytte dette til at få fuld kontrol over telefonen.
Hvem rammer det?
Sårbarheden rammer enheder, der kører Google Android version 17.0. Det betyder:
- Medarbejdere i din virksomhed, der bruger Android 17-telefoner til arbejdsformål
- Virksomheder der benytter Android-enheder til betalingsløsninger, adgangskontrol eller mobile arbejdsgange
- BYOD-miljøer (Bring Your Own Device – hvor medarbejdere bruger egne telefoner til arbejde)
Har du ikke Android 17 i din organisation, er du ikke direkte berørt af netop denne sårbarhed.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende opnå fuld kontrol over den pågældende Android-enhed. Det indebærer:
- Adgang til alle data på telefonen – e-mails, dokumenter, adgangskoder og loginoplysninger
- Mulighed for at installere skadeligt software uden din viden
- Adgang til virksomhedens systemer og netværk, hvis telefonen er koblet på disse
- Overvågning via kamera og mikrofon
Angrebet kræver, at angriberen allerede har en begrænset adgang til enheden – f.eks. via en ondsindet app – men kræver ikke, at du gør noget aktivt for at udløse det.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.0 (Alvorlig). Den er klassificeret som alvorlig, men ikke kritisk, primært fordi angrebet kræver lokal adgang til enheden og er teknisk komplekst at udføre (høj angrebskompleksitet). Til gengæld er konsekvenserne maksimale – en vellykket udnyttelse giver fuld kontrol over fortrolighed, integritet og tilgængelighed på enheden. Det betyder, at selvom angrebet er sværere at gennemføre end mange andre, er skaden potentielt meget stor.
Hvad gør jeg nu?
Du bør handle hurtigt for at beskytte de Android 17-enheder, der bruges i din virksomhed:
- Identificér berørte enheder: Find ud af hvilke medarbejdere der bruger Android 17-smartphones til arbejde – både virksomhedsudstedte og private enheder med adgang til virksomhedens data.
- Installér sikkerhedsopdateringen: Så snart Google udgiver en patch, skal du sikre, at alle berørte enheder opdateres. Gå til Indstillinger → Om telefonen → Systemopdatering.
- Begræns app-tilladelser: Gennemgå hvilke apps der er installeret på arbejdstelefoner, og fjern apps fra ukendte udviklere. Tillad kun apps fra Google Play.
- Aktivér MDM-styring: Bruger I et Mobile Device Management-system (MDM – central styring af mobile enheder), så sørg for at opdateringspolitikker er aktiveret og håndhæves automatisk.
- Informér medarbejderne: Gør medarbejdere opmærksomme på risikoen og bed dem rapportere usædvanlig adfærd på deres telefoner.
Opdatér snarest – inden 30 dage
Auroa anbefaler, at du prioriterer opdatering af alle Android 17-enheder i din organisation, så snart Googles sikkerhedsopdatering er tilgængelig. Særligt vigtigt er det, hvis dine medarbejdere bruger deres telefoner til at tilgå virksomhedens e-mail, filer eller systemer. Overvej at indføre en politik om obligatoriske sikkerhedsopdateringer inden for 7 dage efter udgivelse. Kontakt os, hvis du har brug for hjælp til at kortlægge og beskytte din mobilflåde.
Tidslinje
Konkrete eksempler
Ondsindet app overtager telefonen
En medarbejder downloader en tilsyneladende harmløs produktivitetsapp fra en tredjeparts hjemmeside. Appen er designet til at trigge race condition-fejlen i NFC-komponenten på det rette tidspunkt. Angrebet lykkes, og appen eskalerer sine egne rettigheder til systemniveau – og får dermed adgang til e-mails, filer og virksomhedens VPN-forbindelse på telefonen.
Kompromitteret telefon i BYOD-miljø
En medarbejder bruger sin private Android 17-telefon til at tjekke arbejdsmails og tilgå et delt drev. En angriber har tidligere installeret en bagdør via en inficeret app og udnytter nu CVE-2026-0083 til at få fuld adgang til telefonen. Via den etablerede adgang eksfiltreres (kopieres ud) fortrolige kundedokumenter fra det delte drev.
Angreb via NFC-betalingsterminal på kontoret
En virksomhed bruger Android 17-tablets som NFC-betalingsterminaler i receptionen. En angriber med midlertidig fysisk adgang til lokalet installerer en ondsindet app på terminalen og udnytter sårbarheden til at opnå fuld kontrol. Betalingsdata og kortoplysninger fra efterfølgende transaktioner kan derefter tilgås og videresende til angriberen.
Ofte stillede spørgsmål
Skal jeg være bange for NFC-kortlæsere og kontaktløs betaling?
Nej, ikke direkte. Denne sårbarhed udnyttes ikke via selve NFC-signalet udefra, men via en fejl i den software på telefonen, der håndterer NFC-hændelser. En angriber skal allerede have en form for adgang til enheden – f.eks. via en ondsindet app – for at udnytte fejlen.
Gælder det alle Android-telefoner?
Nej. Kun enheder der kører Android version 17.0 er berørt. Telefoner med ældre Android-versioner er ikke sårbare over for netop denne fejl, men kan have andre sårbarheder. Tjek din Android-version under Indstillinger → Om telefonen.
Hvad er en race condition, og hvorfor er den farlig?
En race condition opstår, når to processer i et program kæmper om at bruge den samme ressource på præcis samme tidspunkt. Det er lidt som to medarbejdere der samtidig redigerer det samme dokument uden at vide det. I dette tilfælde kan det føre til, at programmet tilgår hukommelse, det allerede har slettet – hvilket en angriber kan manipulere til at overtage styringen.
Kan min virksomhed rammes, selv om vi ikke selv er målet?
Ja. Angribere behøver ikke have din virksomhed som specifikt mål. Generelle angreb via ondsindede apps kan ramme enhver medarbejder med en sårbar telefon. Hvis den telefon har adgang til virksomhedens data, kan konsekvenserne sprede sig til hele organisationen.
Hvad gør jeg, hvis jeg ikke kan opdatere med det samme?
Som midlertidig foranstaltning bør du undgå at installere apps fra ukendte kilder, gennemgå eksisterende app-tilladelser og overveje at deaktivere NFC på enheder, hvor det ikke er nødvendigt. Det gøres under Indstillinger → Forbundne enheder → NFC. Det løser ikke sårbarheden, men reducerer angrebsfladen.
Hvornår kan vi forvente en patch fra Google?
Google udgiver typisk sikkerhedsopdateringer til Android i månedlige sikkerhedsbulletiner. Da CVE’en er offentliggjort i juni 2026, forventes en patch at indgå i Googles næste eller igangværende sikkerhedsopdatering. Følg med på Android Security Bulletins på Googles hjemmeside, eller hold øje med systemopdateringer på din enhed.
Ramte produkter
Google — Android
17.0
CVSS-detaljer
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
In Nfc::eventCallback() of Nfc.h, there is a possible use after free due to a race condition. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
