Com WindowsHelper protegeix el vostre ordinador i el vostre telèfon, quina criptografia fem servir i contra què no defensem explícitament. Última actualització: 25-04-2026.
Correu electrònic support@windowshelper.app amb tema [security]. Si us plau, no obriu els problemes públics de GitHub; doneu-nos una finestra per enviar una solució abans de la divulgació.
El codi d'aparellament és el secret compartit qualsevol altra operació criptogràfica derivada. El cicle de vida complet:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; un cop emparellat, el codi roman exclusivament a la memòria.Cada comanda enviada per cable està xifrada amb AES-256-GCM, un mode de xifratge autenticat.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() al telèfon o RandomNumberGenerator en companyia.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Cada comanda també porta una signatura HMAC, de manera que un telèfon que no conegui el codi de vinculació no pot injectar ordres encara que pugui escriure a Firestore.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Separar de la clau de xifratge.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Les canonades són caràcters de canalització literals, no delimitadors: tres cadenes concatenades.| Amenaça | Estat | Notes |
|---|---|---|
| Escolta a la xarxa local | Mitigat | El text xifrat AES-GCM és opac per als observadors MITM. |
| Escolta als servidors de Firestore | Mitigat | Google sees AESGCM:... blobs, not commands. |
| Atacant que pot escriure a Firestore però no coneix el codi | Mitigat | La verificació HMAC falla; El company registra el rebuig + rebutja l'execució. |
| Atacant que ha descobert/ha suplantat el codi d'aparellament | Residual | Poden emetre ordres com si fossin l'usuari. Mitigació: gireu el codi des del menú de la safata. |
| Repetició d'una ordre gravada | Residual | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| Atacant no autenticat en mode LAN | Mitigat | WebSocket pair handshake valida el codi; HMAC + AES porta cada comanda posterior. |
| Telèfon compromès amb clau de vinculació robada | Residual | Indistingible de "el propi usuari". Mitigació: límit de velocitat (10 cmd/min) + confirmació de la comanda destructiva requereix un clic al costat de l'ordinador. |
| Comandament escrit incorrectament des de l'aplicació del telèfon | Mitigat | La llista de permisos del costat del telèfon bloqueja els prefixos no reconeguts; ordres de bloqueig previ al vol de l'acompanyant dirigides a serveis inexistents. |
| Comandament destructiu executat accidentalment | Mitigat | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Procés de PowerShell penjat / descontrolat | Mitigat | El temps d'espera de 5 minuts mata tot l'arbre del procés. |
| Companion Manipulació .exe entre la baixada i l'execució | Mitigat | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion estat sensible de fuga d'error | Mitigat | Informes d'error + desinfectació d'errors de Firestore %USERPROFILE% / %MACHINE% / %USER%. |
| Dispositiu robat, clau d'aparellament del registre persistent | Residual | Un atacant amb accés al disc + accés podria llegir el codi persistent. La correcció futura l'embolica amb Windows DPAPI. |
Coses que WindowsHelper fa explícitament no defensar-se de:
[security].