WindowsHelper kompüterinizi + telefonunuzu necə qoruyur, hansı kriptoqrafiyadan istifadə edirik və nəyə qarşı açıq şəkildə müdafiə etmirik. Son yeniləmə: 25-04-2026.
E-poçt support@windowshelper.app mövzu ilə [security]. Lütfən, ictimai GitHub problemlərini açmayın – açıqlamadan əvvəl bizə düzəliş göndərmək üçün pəncərə verin.
Cütləşdirmə kodu budur paylaşılan sirr hər bir digər kriptovalyuta əməliyyatından irəli gəlir. Tam həyat dövrü:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; qoşalandıqdan sonra kod yalnız yaddaşda qalır.Tel üzərindən göndərilən hər bir əmr təsdiqlənmiş şifrələmə rejimi olan AES-256-GCM ilə şifrələnir.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() telefonda və ya RandomNumberGenerator yoldaş üzərində.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Hər bir əmr həmçinin HMAC imzasını daşıyır, ona görə də cütləşdirmə kodunu bilməyən telefon Firestore-a yaza bilsə belə, əmrləri yeridə bilməz.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Şifrələmə açarından ayırın.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Borular məhdudlaşdırıcı deyil, hərfi boru simvollarıdır - üç birləşdirilmiş sətir.| Təhdid | Vəziyyət | Qeydlər |
|---|---|---|
| Yerli şəbəkədə dinləyici | Yüngülləşdirildi | AES-GCM şifrəli mətni MITM müşahidəçiləri üçün qeyri-şəffafdır. |
| Firestore serverlərində dinləmə | Yüngülləşdirildi | Google sees AESGCM:... blobs, not commands. |
| Firestore-a yaza bilən, lakin kodu bilməyən hücumçu | Yüngülləşdirildi | HMAC yoxlanışı uğursuz oldu; yoldaş imtinanı qeyd edir + icradan imtina edir. |
| Cütləşdirmə kodunu sındıran/fishing edən hücumçu | qalıq | Onlar istifadəçi kimi əmrlər verə bilərlər. Azaldılması: tepsi menyusundan kodu fırladın. |
| Qeydə alınmış əmrin təkrarı | qalıq | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN rejimində təsdiqlənməmiş təcavüzkar | Yüngülləşdirildi | WebSocket cütünün əl sıxması kodu təsdiqləyir; HMAC + AES qapısı hər sonrakı əmr. |
| Oğurlanmış cütləşdirmə açarı ilə oğurlanmış telefon | qalıq | "İstifadəçinin özündən" fərqləndirmək mümkün deyil. Azaldılması: sürət həddi (10 smd/dəq) + dağıdıcı əmrin təsdiqi üçün PC tərəfində klik tələb olunur. |
| Telefon proqramından səhv yazılmış əmr | Yüngülləşdirildi | Telefon tərəfindəki icazələr siyahısı tanınmamış prefiksləri bloklayır; yoldaş tərəfi mövcud olmayan xidmətləri hədəfləyən əmrləri uçuşdan əvvəl bloklayır. |
| Dağıdıcı əmr təsadüfən işə salınır | Yüngülləşdirildi | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Asılmış / qaçan PowerShell prosesi | Yüngülləşdirildi | Sərt 5 dəqiqəlik fasilə bütün proses ağacını öldürür. |
| Companion .exe yükləmə və işə salma arasında müdaxilə | Yüngülləşdirildi | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion qəza sızan həssas vəziyyət | Yüngülləşdirildi | Qəza hesabatları + Firestore xətası geri yazmaları təmizlənir %USERPROFILE% / %MACHINE% / %USER%. |
| Oğurlanmış cihaz, davamlı Reyestr cütləşdirmə açarı | qalıq | Disk + giriş imkanı olan təcavüzkar davamlı kodu oxuya bilər. Gələcək düzəliş onu Windows DPAPI ilə əhatə edir. |
WindowsHelper açıq şəkildə edir yox qarşı müdafiə:
[security].