← WindowsHelper səhifəsinə qayıdın

Təhlükəsizlik Modeli

WindowsHelper kompüterinizi + telefonunuzu necə qoruyur, hansı kriptoqrafiyadan istifadə edirik və nəyə qarşı açıq şəkildə müdafiə etmirik. Son yeniləmə: 25-04-2026.

zəiflik barədə məlumat verir

E-poçt support@windowshelper.app mövzu ilə [security]. Lütfən, ictimai GitHub problemlərini açmayın – açıqlamadan əvvəl bizə düzəliş göndərmək üçün pəncərə verin.

Cütləşdirmə kodunun həyat dövrü

Cütləşdirmə kodu budur paylaşılan sirr hər bir digər kriptovalyuta əməliyyatından irəli gəlir. Tam həyat dövrü:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Kriptoqrafiya

AES-256-GCM (komanda məxfiliyi + bütövlüyü)

Tel üzərindən göndərilən hər bir əmr təsdiqlənmiş şifrələmə rejimi olan AES-256-GCM ilə şifrələnir.

HMAC-SHA256 (əmr həqiqiliyi)

Hər bir əmr həmçinin HMAC imzasını daşıyır, ona görə də cütləşdirmə kodunu bilməyən telefon Firestore-a yaza bilsə belə, əmrləri yeridə bilməz.

Təhdid modeli

TəhdidVəziyyətQeydlər
Yerli şəbəkədə dinləyiciYüngülləşdirildiAES-GCM şifrəli mətni MITM müşahidəçiləri üçün qeyri-şəffafdır.
Firestore serverlərində dinləməYüngülləşdirildiGoogle sees AESGCM:... blobs, not commands.
Firestore-a yaza bilən, lakin kodu bilməyən hücumçuYüngülləşdirildiHMAC yoxlanışı uğursuz oldu; yoldaş imtinanı qeyd edir + icradan imtina edir.
Cütləşdirmə kodunu sındıran/fishing edən hücumçuqalıqOnlar istifadəçi kimi əmrlər verə bilərlər. Azaldılması: tepsi menyusundan kodu fırladın.
Qeydə alınmış əmrin təkrarıqalıqsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN rejimində təsdiqlənməmiş təcavüzkarYüngülləşdirildiWebSocket cütünün əl sıxması kodu təsdiqləyir; HMAC + AES qapısı hər sonrakı əmr.
Oğurlanmış cütləşdirmə açarı ilə oğurlanmış telefonqalıq"İstifadəçinin özündən" fərqləndirmək mümkün deyil. Azaldılması: sürət həddi (10 smd/dəq) + dağıdıcı əmrin təsdiqi üçün PC tərəfində klik tələb olunur.
Telefon proqramından səhv yazılmış əmrYüngülləşdirildiTelefon tərəfindəki icazələr siyahısı tanınmamış prefiksləri bloklayır; yoldaş tərəfi mövcud olmayan xidmətləri hədəfləyən əmrləri uçuşdan əvvəl bloklayır.
Dağıdıcı əmr təsadüfən işə salınırYüngülləşdirildiCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Asılmış / qaçan PowerShell prosesiYüngülləşdirildiSərt 5 dəqiqəlik fasilə bütün proses ağacını öldürür.
Companion .exe yükləmə və işə salma arasında müdaxiləYüngülləşdirildiSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion qəza sızan həssas vəziyyətYüngülləşdirildiQəza hesabatları + Firestore xətası geri yazmaları təmizlənir %USERPROFILE% / %MACHINE% / %USER%.
Oğurlanmış cihaz, davamlı Reyestr cütləşdirmə açarıqalıqDisk + giriş imkanı olan təcavüzkar davamlı kodu oxuya bilər. Gələcək düzəliş onu Windows DPAPI ilə əhatə edir.

əhatə dairəsi xaricində

WindowsHelper açıq şəkildə edir yox qarşı müdafiə:

Açıqlama