CVE-2026-0083
Alvorlig

CVE-2026-0083: Kritisk Android 17 NFC-sårbarhed

Fejl i Androids NFC-kode kan give angriber fuld kontrol over din telefon uden din hjælp.

CVSS Score
7
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér snarest – inden 30 dage

Hvad er det?

CVE-2026-0083 er en sikkerhedsfejl i Android 17’s NFC-komponent (Near Field Communication – den teknologi der bruges til kontaktløs betaling og datadeling). Fejlen opstår på grund af en såkaldt race condition (en timing-fejl, hvor to processer forsøger at tilgå den samme hukommelse på præcis det forkerte tidspunkt), som fører til et use-after-free-problem (programmet bruger hukommelse, det allerede har frigivet, hvilket kan få det til at opføre sig uforudsigeligt). En angriber med begrænset adgang til enheden kan udnytte dette til at få fuld kontrol over telefonen.

Hvem rammer det?

Sårbarheden rammer enheder, der kører Google Android version 17.0. Det betyder:

  • Medarbejdere i din virksomhed, der bruger Android 17-telefoner til arbejdsformål
  • Virksomheder der benytter Android-enheder til betalingsløsninger, adgangskontrol eller mobile arbejdsgange
  • BYOD-miljøer (Bring Your Own Device – hvor medarbejdere bruger egne telefoner til arbejde)

Har du ikke Android 17 i din organisation, er du ikke direkte berørt af netop denne sårbarhed.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan vedkommende opnå fuld kontrol over den pågældende Android-enhed. Det indebærer:

  • Adgang til alle data på telefonen – e-mails, dokumenter, adgangskoder og loginoplysninger
  • Mulighed for at installere skadeligt software uden din viden
  • Adgang til virksomhedens systemer og netværk, hvis telefonen er koblet på disse
  • Overvågning via kamera og mikrofon

Angrebet kræver, at angriberen allerede har en begrænset adgang til enheden – f.eks. via en ondsindet app – men kræver ikke, at du gør noget aktivt for at udløse det.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.0 (Alvorlig). Den er klassificeret som alvorlig, men ikke kritisk, primært fordi angrebet kræver lokal adgang til enheden og er teknisk komplekst at udføre (høj angrebskompleksitet). Til gengæld er konsekvenserne maksimale – en vellykket udnyttelse giver fuld kontrol over fortrolighed, integritet og tilgængelighed på enheden. Det betyder, at selvom angrebet er sværere at gennemføre end mange andre, er skaden potentielt meget stor.

Hvad gør jeg nu?

Du bør handle hurtigt for at beskytte de Android 17-enheder, der bruges i din virksomhed:

  1. Identificér berørte enheder: Find ud af hvilke medarbejdere der bruger Android 17-smartphones til arbejde – både virksomhedsudstedte og private enheder med adgang til virksomhedens data.
  2. Installér sikkerhedsopdateringen: Så snart Google udgiver en patch, skal du sikre, at alle berørte enheder opdateres. Gå til Indstillinger → Om telefonen → Systemopdatering.
  3. Begræns app-tilladelser: Gennemgå hvilke apps der er installeret på arbejdstelefoner, og fjern apps fra ukendte udviklere. Tillad kun apps fra Google Play.
  4. Aktivér MDM-styring: Bruger I et Mobile Device Management-system (MDM – central styring af mobile enheder), så sørg for at opdateringspolitikker er aktiveret og håndhæves automatisk.
  5. Informér medarbejderne: Gør medarbejdere opmærksomme på risikoen og bed dem rapportere usædvanlig adfærd på deres telefoner.
Tidsfrist

Opdatér snarest – inden 30 dage

Sådan ser Auroa det

Auroa anbefaler, at du prioriterer opdatering af alle Android 17-enheder i din organisation, så snart Googles sikkerhedsopdatering er tilgængelig. Særligt vigtigt er det, hvis dine medarbejdere bruger deres telefoner til at tilgå virksomhedens e-mail, filer eller systemer. Overvej at indføre en politik om obligatoriske sikkerhedsopdateringer inden for 7 dage efter udgivelse. Kontakt os, hvis du har brug for hjælp til at kortlægge og beskytte din mobilflåde.

Tidslinje

17/06/2026
CVE offentliggjort
Google og NVD (National Vulnerability Database) offentliggør CVE-2026-0083. Sårbarheden beskrives som en race condition i NFC-koden i Android 17.
17/06/2026
Teknisk analyse tilgængelig
CVSS-score fastsættes til 7.0 (Alvorlig). Fejlen klassificeres som CWE-362 (race condition) med potentiale for lokal rettighedseskalering.
01/07/2026
Forventet Googles sikkerhedsbulletin
Google forventes at inkludere en rettelse i deres månedlige Android-sikkerhedsopdatering. Producenter som Samsung og OnePlus skal derefter rulle opdateringen ud til deres enheder.
01/07/2026
Patch anbefales installeret
Alle virksomheder med Android 17-enheder opfordres til at installere sikkerhedsopdateringen så snart den er tilgængelig for deres specifikke enhedsmodel.

Konkrete eksempler

Ondsindet app overtager telefonen

En medarbejder downloader en tilsyneladende harmløs produktivitetsapp fra en tredjeparts hjemmeside. Appen er designet til at trigge race condition-fejlen i NFC-komponenten på det rette tidspunkt. Angrebet lykkes, og appen eskalerer sine egne rettigheder til systemniveau – og får dermed adgang til e-mails, filer og virksomhedens VPN-forbindelse på telefonen.

Kompromitteret telefon i BYOD-miljø

En medarbejder bruger sin private Android 17-telefon til at tjekke arbejdsmails og tilgå et delt drev. En angriber har tidligere installeret en bagdør via en inficeret app og udnytter nu CVE-2026-0083 til at få fuld adgang til telefonen. Via den etablerede adgang eksfiltreres (kopieres ud) fortrolige kundedokumenter fra det delte drev.

Angreb via NFC-betalingsterminal på kontoret

En virksomhed bruger Android 17-tablets som NFC-betalingsterminaler i receptionen. En angriber med midlertidig fysisk adgang til lokalet installerer en ondsindet app på terminalen og udnytter sårbarheden til at opnå fuld kontrol. Betalingsdata og kortoplysninger fra efterfølgende transaktioner kan derefter tilgås og videresende til angriberen.

Ofte stillede spørgsmål

Ramte produkter

Google — Android

17.0

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
HIGH
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-362

Original NVD-beskrivelse (engelsk)

In Nfc::eventCallback() of Nfc.h, there is a possible use after free due to a race condition. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7
Visning
Hurtige fakta
CVE-ID
CVE-2026-0083
Offentliggjort
17/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér snarest – inden 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.