← Վերադառնալ WindowsHelper

Անվտանգության մոդել

Ինչպես է WindowsHelper-ը պաշտպանում ձեր համակարգիչը + ձեր հեռախոսը, ինչ ծածկագրում ենք մենք օգտագործում և ինչից բացահայտորեն չենք պաշտպանում: Վերջին թարմացումը՝ 2026-04-25:

հաղորդում խոցելիության մասին

Էլ support@windowshelper.app առարկայի հետ [security]. Խնդրում ենք մի բացեք հանրային GitHub-ի խնդիրները. նախքան բացահայտումը, մեզ պատուհան տվեք՝ ուղղումներ ուղարկելու համար:

Զուգակցման կոդի կյանքի ցիկլը

Զուգավորման կոդը ընդհանուր գաղտնիք յուրաքանչյուր այլ կրիպտո գործողություն բխում է. Ամբողջ կյանքի ցիկլը.

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Գաղտնագրություն

AES-256-GCM (հրամանի գաղտնիություն + ամբողջականություն)

Լարով ուղարկված յուրաքանչյուր հրաման կոդավորված է AES-256-GCM-ով, որը վավերացված գաղտնագրման ռեժիմ է:

HMAC-SHA256 (հրամանի իսկությունը)

Յուրաքանչյուր հրաման ունի նաև HMAC ստորագրություն, այնպես որ հեռախոսը, որը չգիտի զուգավորման կոդը, չի կարող հրամաններ ներարկել, նույնիսկ եթե այն կարողանա գրել Firestore-ին:

Սպառնալիքի մոդել

ՍպառնալիքԿարգավիճակՆշումներ
Տեղական ցանցում գաղտնալսողՄեղմացվածAES-GCM ծածկագրված տեքստը անթափանց է MITM դիտորդների համար:
Գաղտնալսող Firestore սերվերների վրաՄեղմացվածGoogle sees AESGCM:... blobs, not commands.
Հարձակվող, ով կարող է գրել Firestore-ին, բայց չգիտի կոդըՄեղմացվածHMAC ստուգումը ձախողվում է; ուղեկիցը գրանցում է մերժումը + հրաժարվում է կատարումից:
Հարձակվող, ով կոտրել է/ֆիշել է զուգավորման կոդըՄնացորդայինՆրանք կարող են հրամաններ տալ այնպես, ասես օգտագործողը լինեն: Մեղմացում. պտտել կոդը սկուտեղի ընտրացանկից:
Ձայնագրված հրամանի կրկնությունՄնացորդայինsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-ռեժիմով չնույնականացված հարձակվողՄեղմացվածWebSocket զույգի ձեռքսեղմումը վավերացնում է կոդը; HMAC + AES դարպասը յուրաքանչյուր հաջորդ հրամանը:
Վտանգված հեռախոս գողացված զուգավորման բանալիովՄնացորդայինՉտարբերվում է «օգտագործողներից»: Մեղմացում. արագության սահմանաչափ (10 սմդ/րոպե) + կործանարար հրամանի հաստատումը պահանջում է համակարգչի կողմից սեղմում:
Հեռախոսի հավելվածից սխալ մուտքագրված հրամանՄեղմացվածՀեռախոսի կողմից թույլտվությունների ցանկը արգելափակում է չճանաչված նախածանցները. ուղեկից կողմի նախաթռիչքային բլոկների հրամաններ, որոնք ուղղված են գոյություն չունեցող ծառայություններին:
Կործանարար հրամանը պատահաբար գործարկվեցՄեղմացվածCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Կախված / փախած PowerShell գործընթացըՄեղմացված5-րոպեանոց կոշտ դադարը սպանում է ողջ գործընթացի ծառը:
Companion .exe կեղծում ներբեռնման և գործարկման միջևՄեղմացվածSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion վթարի արտահոսքի զգայուն վիճակՄեղմացվածՎթարի մասին հաշվետվություններ + Firestore սխալի գրառման հետքեր ախտահանվում են %USERPROFILE% / %MACHINE% / %USER%.
Գողացված սարք, պահպանված ռեեստրի զուգավորման բանալիՄնացորդայինՍկավառակ + մուտքի հասանելիություն ունեցող հարձակվողը կարող էր կարդալ պահպանված կոդը: Ապագա շտկումն այն պարուրում է Windows DPAPI-ով:

Շրջանակից դուրս

Այն, ինչ անում է WindowsHelper-ը ոչ պաշտպանել դեմ՝

Բացահայտում