← Torna a WindowsHelper

Model de seguretat

Com WindowsHelper protegeix el vostre ordinador i el vostre telèfon, quina criptografia fem servir i contra què no defensem explícitament. Última actualització: 25-04-2026.

denunciant una vulnerabilitat

Correu electrònic support@windowshelper.app amb tema [security]. Si us plau, no obriu els problemes públics de GitHub; doneu-nos una finestra per enviar una solució abans de la divulgació.

Cicle de vida del codi d'aparellament

El codi d'aparellament és el secret compartit qualsevol altra operació criptogràfica derivada. El cicle de vida complet:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Criptografia

AES-256-GCM (confidencialitat de comandaments + integritat)

Cada comanda enviada per cable està xifrada amb AES-256-GCM, un mode de xifratge autenticat.

HMAC-SHA256 (autenticitat de la comanda)

Cada comanda també porta una signatura HMAC, de manera que un telèfon que no conegui el codi de vinculació no pot injectar ordres encara que pugui escriure a Firestore.

Model d'amenaça

AmenaçaEstatNotes
Escolta a la xarxa localMitigatEl text xifrat AES-GCM és opac per als observadors MITM.
Escolta als servidors de FirestoreMitigatGoogle sees AESGCM:... blobs, not commands.
Atacant que pot escriure a Firestore però no coneix el codiMitigatLa verificació HMAC falla; El company registra el rebuig + rebutja l'execució.
Atacant que ha descobert/ha suplantat el codi d'aparellamentResidualPoden emetre ordres com si fossin l'usuari. Mitigació: gireu el codi des del menú de la safata.
Repetició d'una ordre gravadaResidualsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
Atacant no autenticat en mode LANMitigatWebSocket pair handshake valida el codi; HMAC + AES porta cada comanda posterior.
Telèfon compromès amb clau de vinculació robadaResidualIndistingible de "el propi usuari". Mitigació: límit de velocitat (10 cmd/min) + confirmació de la comanda destructiva requereix un clic al costat de l'ordinador.
Comandament escrit incorrectament des de l'aplicació del telèfonMitigatLa llista de permisos del costat del telèfon bloqueja els prefixos no reconeguts; ordres de bloqueig previ al vol de l'acompanyant dirigides a serveis inexistents.
Comandament destructiu executat accidentalmentMitigatCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Procés de PowerShell penjat / descontrolatMitigatEl temps d'espera de 5 minuts mata tot l'arbre del procés.
Companion Manipulació .exe entre la baixada i l'execucióMitigatSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion estat sensible de fuga d'errorMitigatInformes d'error + desinfectació d'errors de Firestore %USERPROFILE% / %MACHINE% / %USER%.
Dispositiu robat, clau d'aparellament del registre persistentResidualUn atacant amb accés al disc + accés podria llegir el codi persistent. La correcció futura l'embolica amb Windows DPAPI.

Fora de l'abast

Coses que WindowsHelper fa explícitament no defensar-se de:

Divulgació