Podatność w systemie infotainment JXL 9 Inch Car Android Double Din Player (Android v12.0) umożliwia atakującemu wymuszenie akceptacji sfałszowanych sygnałów GPS jako prawidłowych. W rezultacie urządzenie raportuje nieprawidłową lub statyczną lokalizację.
▸ Pokaż oryginał (EN)
An issue in JXL 9 Inch Car Android Double Din Player Android v12.0 allows attackers to force the infotainment system into accepting falsified GPS signals as legitimate, resulting in the device reporting an incorrect or static location.
Atakujący może dostarczyć do systemu infotainment sfałszowane sygnały GPS, które urządzenie akceptuje bez odpowiedniej weryfikacji ich autentyczności (CWE-941: Incorrect Selection of Fuse or Latch Input). System nie odróżnia legitymizowanych sygnałów od fałszywych, co pozwala na podmianę rzeczywistych danych lokalizacyjnych. Skutkiem jest wyświetlanie przez urządzenie błędnej lub zamrożonej pozycji geograficznej.
Atakujący może spowodować, że system infotainment będzie raportował fałszywą lub statyczną lokalizację pojazdu, co może wprowadzać kierowcę w błąd i zakłócać nawigację. Podatność ma potencjalny wpływ na bezpieczeństwo użytkownika pojazdu w sytuacjach zależnych od dokładnych danych GPS.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się kontakt z producentem (jxl.com) w celu uzyskania aktualizacji oprogramowania układowego oraz unikanie korzystania z nawigacji GPS na urządzeniach w wersji podatnej na atak.
JXL 9 Inch Car Android Double Din Player z systemem Android v12.0
Szczegóły techniczne podatności zostały opublikowane przez badacza Shubhama Thorata w repozytorium GitHub (github.com/thorat-shubham/JXL_Infotainment_CVE-2025-69515). Data publikacji CVE (2026-04-07) jest przyszła względem typowych harmonogramów, co może wskazywać na błąd w metadanych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H