CVE-2020-26556

**Nome do software vulnerável e versões afetadas:

Perfil Bluetooth Mesh versões 1.0 e 1.0.1

Descrição:

A vulnerabilidade permite que um dispositivo próximo realize com sucesso um ataque de força bruta contra um AuthValue insuficientemente aleatório antes que o procedimento de provisionamento expire, podendo concluir a autenticação por meio do uso do Malleable Commitment. Isso poderia ser explorado em cenários reais em que um invasor esteja próximo ao dispositivo alvo.

Recomendações:

Para a versão 1.0 do perfil Bluetooth Mesh, considere implementar medidas de segurança adicionais para proteger contra ataques de força bruta ao AuthValue.

Para o perfil Bluetooth Mesh versão 1.0.1, aplique a mesma mitigação da versão 1.0, com foco em aumentar a aleatoriedade do AuthValue para impedir ataques de força bruta bem-sucedidos.

Como solução temporária, considere restringir o tempo limite do procedimento de provisionamento para minimizar a janela de oportunidade para um invasor realizar um ataque de força bruta.