Jak WindowsHelper chrání váš počítač + váš telefon, jakou kryptografii používáme a proti čemu se výslovně nebráníme. Poslední aktualizace: 25. 4. 2026.
E-mail support@windowshelper.app s předmětem [security]. Neotevírejte prosím veřejné problémy GitHubu – před zveřejněním nám dejte okno k odeslání opravy.
Párovací kód je sdílené tajemství každá další krypto operace vychází z. Celý životní cyklus:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; po spárování zůstane kód výhradně v paměti.Každý příkaz odeslaný po drátě je zašifrován pomocí AES-256-GCM, což je režim ověřeného šifrování.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() na telefonu popř RandomNumberGenerator na společníka.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Každý příkaz také nese podpis HMAC, takže telefon, který nezná párovací kód, nemůže vkládat příkazy, i když může zapisovat do Firestore.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Oddělte od šifrovacího klíče.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Roury jsou doslovné svislé znaky, nikoli oddělovače – tři zřetězené řetězce.| hrozba | Stav | Poznámky |
|---|---|---|
| Odposlech v místní síti | Zmírněno | Šifrovaný text AES-GCM je pro pozorovatele MITM neprůhledný. |
| Odposlech na serverech Firestore | Zmírněno | Google sees AESGCM:... blobs, not commands. |
| Útočník, který může zapisovat do Firestore, ale nezná kód | Zmírněno | Ověření HMAC se nezdaří; společník zaznamená odmítnutí + odmítne provedení. |
| Útočník, který prolomil / phishingem párovací kód | Zbytkový | Mohou vydávat příkazy, jako by byli uživatelem. Zmírnění: otočte kód z nabídky zásobníku. |
| Přehrání nahraného příkazu | Zbytkový | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| Neověřený útočník v režimu LAN | Zmírněno | Párové handshake WebSocket ověří kód; HMAC + AES brána každý následující příkaz. |
| Kompromitovaný telefon s odcizeným párovacím klíčem | Zbytkový | K nerozeznání od „uživatelů samotných“. Zmírnění: omezení rychlosti (10 cmd/min) + potvrzení destruktivního příkazu vyžaduje kliknutí na straně PC. |
| Chybně zadaný příkaz z aplikace telefonu | Zmírněno | Seznam povolených na straně telefonu blokuje nerozpoznané předpony; Příkazy předletových bloků na straně společníka zaměřené na neexistující služby. |
| Náhodně spuštěný destruktivní příkaz | Zmírněno | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Zablokovaný / uniklý proces PowerShell | Zmírněno | Tvrdý 5minutový časový limit zabije celý strom procesu. |
| Companion Manipulace s příponou .exe mezi stažením a spuštěním | Zmírněno | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion citlivý stav úniku úniku | Zmírněno | Hlášení o selhání + zpětné zápisy o chybách Firestore jsou dezinfikovány %USERPROFILE% / %MACHINE% / %USER%. |
| Ukradené zařízení, přetrvávající klíč pro párování registru | Zbytkový | Útočník s přístupem k disku + přihlášení mohl přečíst přetrvávající kód. Budoucí oprava to zabalí do Windows DPAPI. |
Věci, které WindowsHelper explicitně dělá ne bránit se:
[security].