Ինչպես է WindowsHelper-ը պաշտպանում ձեր համակարգիչը + ձեր հեռախոսը, ինչ ծածկագրում ենք մենք օգտագործում և ինչից բացահայտորեն չենք պաշտպանում: Վերջին թարմացումը՝ 2026-04-25:
Էլ support@windowshelper.app առարկայի հետ [security]. Խնդրում ենք մի բացեք հանրային GitHub-ի խնդիրները. նախքան բացահայտումը, մեզ պատուհան տվեք՝ ուղղումներ ուղարկելու համար:
Զուգավորման կոդը ընդհանուր գաղտնիք յուրաքանչյուր այլ կրիպտո գործողություն բխում է. Ամբողջ կյանքի ցիկլը.
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; զուգակցվելուց հետո կոդը մնում է բացառապես հիշողության մեջ:Լարով ուղարկված յուրաքանչյուր հրաման կոդավորված է AES-256-GCM-ով, որը վավերացված գաղտնագրման ռեժիմ է:
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() հեռախոսով կամ RandomNumberGenerator ուղեկցի վրա.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Յուրաքանչյուր հրաման ունի նաև HMAC ստորագրություն, այնպես որ հեռախոսը, որը չգիտի զուգավորման կոդը, չի կարող հրամաններ ներարկել, նույնիսկ եթե այն կարողանա գրել Firestore-ին:
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Առանձնացրեք կոդավորման բանալիից:HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Խողովակները բառացի խողովակի նիշեր են, այլ ոչ թե սահմանազատիչներ՝ երեք միացված տողեր:| Սպառնալիք | Կարգավիճակ | Նշումներ |
|---|---|---|
| Տեղական ցանցում գաղտնալսող | Մեղմացված | AES-GCM ծածկագրված տեքստը անթափանց է MITM դիտորդների համար: |
| Գաղտնալսող Firestore սերվերների վրա | Մեղմացված | Google sees AESGCM:... blobs, not commands. |
| Հարձակվող, ով կարող է գրել Firestore-ին, բայց չգիտի կոդը | Մեղմացված | HMAC ստուգումը ձախողվում է; ուղեկիցը գրանցում է մերժումը + հրաժարվում է կատարումից: |
| Հարձակվող, ով կոտրել է/ֆիշել է զուգավորման կոդը | Մնացորդային | Նրանք կարող են հրամաններ տալ այնպես, ասես օգտագործողը լինեն: Մեղմացում. պտտել կոդը սկուտեղի ընտրացանկից: |
| Ձայնագրված հրամանի կրկնություն | Մնացորդային | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-ռեժիմով չնույնականացված հարձակվող | Մեղմացված | WebSocket զույգի ձեռքսեղմումը վավերացնում է կոդը; HMAC + AES դարպասը յուրաքանչյուր հաջորդ հրամանը: |
| Վտանգված հեռախոս գողացված զուգավորման բանալիով | Մնացորդային | Չտարբերվում է «օգտագործողներից»: Մեղմացում. արագության սահմանաչափ (10 սմդ/րոպե) + կործանարար հրամանի հաստատումը պահանջում է համակարգչի կողմից սեղմում: |
| Հեռախոսի հավելվածից սխալ մուտքագրված հրաման | Մեղմացված | Հեռախոսի կողմից թույլտվությունների ցանկը արգելափակում է չճանաչված նախածանցները. ուղեկից կողմի նախաթռիչքային բլոկների հրամաններ, որոնք ուղղված են գոյություն չունեցող ծառայություններին: |
| Կործանարար հրամանը պատահաբար գործարկվեց | Մեղմացված | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Կախված / փախած PowerShell գործընթացը | Մեղմացված | 5-րոպեանոց կոշտ դադարը սպանում է ողջ գործընթացի ծառը: |
| Companion .exe կեղծում ներբեռնման և գործարկման միջև | Մեղմացված | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion վթարի արտահոսքի զգայուն վիճակ | Մեղմացված | Վթարի մասին հաշվետվություններ + Firestore սխալի գրառման հետքեր ախտահանվում են %USERPROFILE% / %MACHINE% / %USER%. |
| Գողացված սարք, պահպանված ռեեստրի զուգավորման բանալի | Մնացորդային | Սկավառակ + մուտքի հասանելիություն ունեցող հարձակվողը կարող էր կարդալ պահպանված կոդը: Ապագա շտկումն այն պարուրում է Windows DPAPI-ով: |
Այն, ինչ անում է WindowsHelper-ը ոչ պաշտպանել դեմ՝
[security].