PT-2021-5138 · Apple+5 · Pay+5
Publicado
2021-03-01
·
Atualizado
2021-03-01
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
MasterCard, Visa, American Express (versões afetadas não especificadas)
Apple Pay (versões afetadas não especificadas)
Samsung Pay (versões afetadas não especificadas)
GPay (versões afetadas não especificadas)
Descrição
O problema está relacionado à autorização insuficiente de criptogramas ARQC gerados por carteiras digitais. Isso poderia permitir que um invasor utilizasse criptogramas AAC em serviços de tokenização, os quais são gerados por carteiras digitais nos casos em que uma transação é recusada pela carteira ou pelo terminal de pagamento.
Recomendações
Para MasterCard, Visa e American Express, considere implementar verificações de autorização adicionais para criptogramas ARQC a fim de impedir o uso não autorizado.
Para Apple Pay, Samsung Pay e GPay, restrinja a geração de criptogramas AAC apenas aos casos em que uma transação é recusada e garanta que mecanismos de autorização adequados estejam em vigor para criptogramas ARQC.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
American Express
Pay
Gpay
Mastercard
Samsung Pay
Visa