የእርስዎን ፒሲ + ስልክ እንዴት WindowsHelper እንደሚጠብቀው፣ የምንጠቀመውን ምስጠራ እና በግልጽ የማንከላከለውን። መጨረሻ የዘመነው፡ 2026-04-25
ኢሜይል support@windowshelper.app ከርዕሰ ጉዳይ ጋር [security]. እባክዎ ይፋዊ GitHub ጉዳዮችን አይክፈቱ - ከመገለጡ በፊት ጥገና የምንልክበት መስኮት ይስጡን።
የማጣመሪያው ኮድ የ የጋራ ሚስጥር ሁሉም ሌሎች የ crypto ክወና የሚመጣው. ሙሉ የሕይወት ዑደት;
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; አንዴ ከተጣመረ, ኮዱ በማህደረ ትውስታ ውስጥ ብቻ ይቆያል.በሽቦው ላይ የተላከ እያንዳንዱ ትዕዛዝ በAES-256-GCM፣ በተረጋገጠ-ምስጠራ ሁነታ የተመሰጠረ ነው።
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() በስልክ ወይም RandomNumberGenerator ተጓዳኝ ላይ ።AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>እያንዳንዱ ትእዛዝ የHMAC ፊርማ ስላለው የማጣመሪያውን ኮድ የማያውቅ ስልክ ወደ ፋየርስቶር መፃፍ ቢችልም ትዕዛዞችን ማስገባት አይችልም።
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). ከማመስጠር ቁልፍ ይለዩ።HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). ቧንቧዎቹ ቀጥተኛ የፓይፕ ቁምፊዎች እንጂ ገዳይ አይደሉም - ሶስት የተጣመሩ ገመዶች.| ማስፈራሪያ | ሁኔታ | ማስታወሻዎች |
|---|---|---|
| በአከባቢው አውታረመረብ ላይ የጆሮ ማዳመጫ | የተቀነሰ | AES-GCM ምስጢራዊ ጽሑፍ ለMITM ተመልካቾች ግልጽ ያልሆነ ነው። |
| Eavesdropper በFirestore አገልጋዮች ላይ | የተቀነሰ | Google sees AESGCM:... blobs, not commands. |
| ወደ ፋየርስቶር የሚጽፍ ግን 'ኮዱን የማያውቅ አጥቂ | የተቀነሰ | HMAC ማረጋገጥ አልተሳካም; ባልደረባ ውድቅ ማድረጉን ይመዘግባል + መፈጸሙን አልተቀበለም። |
| የማጣመሪያውን ኮድ የሰነጠቀ/ ያስሰደደ አጥቂ | ቀሪ | እንደ ተጠቃሚው ትእዛዝ ሊሰጡ ይችላሉ። ማቃለል፡ ኮዱን ከትሪ ሜኑ አሽከርክር። |
| የተቀዳ ትእዛዝ እንደገና አጫውት። | ቀሪ | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-ሁነታ ያልተረጋገጠ አጥቂ | የተቀነሰ | የዌብሶኬት ጥንድ መጨባበጥ ኮዱን ያረጋግጣል; HMAC + AES በር እያንዳንዱ ተከታይ ትዕዛዝ. |
| የተጠለፈ ስልክ ከተሰረቀ የማጣመሪያ ቁልፍ ጋር | ቀሪ | ከ"ተጠቃሚው እራሱ" የማይለይ። ቅነሳ፡ የፍጥነት ገደብ (10 ሴሜዲ/ደቂቃ) + አውዳሚ-ትዕዛዝ ማረጋገጫ ፒሲ-ጎን ጠቅ ማድረግን ይጠይቃል። |
| ከስልክ መተግበሪያ የተሳሳተ ትእዛዝ | የተቀነሰ | የስልክ ጎን የተፈቀደ ዝርዝር ያልታወቁ ቅድመ ቅጥያዎችን ያግዳል; አብሮ-ጎን ቅድመ-በረራ ላይ ያልሆኑ አገልግሎቶችን ያነጣጠሩ ትዕዛዞችን ያግዳል። |
| አጥፊ ትዕዛዝ በድንገት ይሰራል | የተቀነሰ | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| የሃንግ / የሸሸ የPowerShell ሂደት | የተቀነሰ | ከባድ የ 5-ደቂቃ ጊዜ ማብቂያ የሂደቱን ዛፍ በሙሉ ይገድላል. |
| Companion .exe በማውረድ እና በማሄድ መካከል ማበላሸት። | የተቀነሰ | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion የብልሽት መፍሰስ ሚስጥራዊነት ያለው ሁኔታ | የተቀነሰ | የብልሽት ሪፖርቶች + የFirestore ስህተት መልሶ መፃፍ ያጸዳል። %USERPROFILE% / %MACHINE% / %USER%. |
| የተሰረቀ መሳሪያ፣ የቀጠለ የመዝገብ ማጣመሪያ ቁልፍ | ቀሪ | የዲስክ + የመግቢያ መዳረሻ ያለው አጥቂ የቀጠለውን ኮድ ማንበብ ይችላል። የወደፊት ጥገና በWindows DPAPI ይጠቀለላል። |
ነገሮች WindowsHelper በግልፅ የሚያደርጋቸው አይደለም መከላከል፡-
[security].