Описание
Уязвимость токенизационных сервисов MasterCard, Visa, American Express связана с недостаточной авторизацией криптограмм ARQC генерируемых мобильными кошельками Apple Pay, Samsung Pay, GPay. Эксплуатация уязвимости может позволить нарушителю использовать на токенизационных сервисах криптограммы AAC, которые мобильные кошельки генирируют в случае принятия решения о неодобрении транзакции кошельком или платежным терминалом
Вендор
Visa Inc.
MasterCard Inc.
Наименование ПО
Visa Tokenisation Service (VTS)
MasterCard Tokenisation Service (MDES)
Версия ПО
- (Visa Tokenisation Service (VTS))
- (MasterCard Tokenisation Service (MDES))
Тип ПО
Микропрограммный код
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,9)
Возможные меры по устранению уязвимости
Не одобрять транзакции, у которых в поле CVR/IAD указан тип криптограммы AAC
Статус уязвимости
Подтверждена в ходе исследований
Наличие эксплойта
Существует
Информация об устранении
Информация об устранении отсутствует
4.9 Medium
CVSS3
6.8 Medium
CVSS2
4.9 Medium
CVSS3
6.8 Medium
CVSS2