← Til baka í WindowsHelper

Öryggislíkan

Hvernig WindowsHelper verndar tölvuna þína + símann þinn, hvaða dulritun við notum og hvað við verjumst beinlínis ekki gegn. Síðast uppfært: 2026-04-25.

að tilkynna um varnarleysi

Tölvupóstur support@windowshelper.app með efni [security]. Vinsamlegast opnaðu ekki opinber GitHub mál - gefðu okkur glugga til að senda lagfæringu áður en það er birt.

Lífsferill pörunarkóða

Pörunarkóði er sameiginlegt leyndarmál önnur hver dulritunaraðgerð kemur frá. Fullur lífsferill:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Dulritun

AES-256-GCM (stjórn trúnaður + heilindi)

Sérhver skipun sem send er yfir vírinn er dulkóðuð með AES-256-GCM, auðkenndri dulkóðunarham.

HMAC-SHA256 (áreiðanleiki skipunar)

Sérhver skipun ber einnig HMAC undirskrift svo sími sem þekkir ekki pörunarkóðann getur ekki sprautað skipunum jafnvel þó hann geti skrifað í Firestore.

Ógnalíkan

HótunStaðaSkýringar
Hlustari á staðarnetinuLéttAES-GCM dulmálstexti er ógegnsær fyrir MITM áhorfendur.
Hlustari á Firestore netþjónumLéttGoogle sees AESGCM:... blobs, not commands.
Árásarmaður sem getur skrifað til Firestore en þekkir ekki kóðannLéttHMAC sannprófun mistekst; félagi skráir höfnunina + neitar framkvæmd.
Árásarmaður sem klikkaði / fiskaði pörunarkóðannLeifarÞeir geta gefið út skipanir eins og þeir væru notandinn. Mótvægisaðgerð: snúðu kóðanum úr bakkavalmyndinni.
Endurspilun skráðrar skipunarLeifarsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
Óstaðfestur árásarmaður í LAN-stillinguLéttWebSocket par handabandi staðfestir kóðann; HMAC + AES hlið hverja síðari skipun.
Sími í hættu með stolnum pörunarlykliLeifarÓaðgreinanlegt frá „notandanum sjálfum“. Mótvægi: hámarkshraða (10 cmd/mín.) + staðfesting á eyðileggjandi skipun krefst smells á PC hlið.
Rangslá skipun úr símaforritiLéttHeimildalisti símans lokar á óþekkt forskeyti; fylgjendahliðar fyrir flugblokkaskipanir sem miða á þjónustu sem ekki er til.
Eyðileggjandi skipun keyrð óvartLéttCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Hengd / runaway PowerShell ferliLéttHarður 5 mínútna frestur drepur allt vinnslutréð.
Companion .exe að fikta á milli niðurhals og keyrsluLéttSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion hrun lekur viðkvæmt ástandLéttHruntilkynningar + Firestore villuafskriftir hreinsa %USERPROFILE% / %MACHINE% / %USER%.
Stolið tæki, viðvarandi Registry pörunarlykillLeifarÁrásarmaður með disk + innskráningaraðgang gæti lesið viðvarandi kóðann. Framtíðarleiðrétting umlykur það með Windows DPAPI.

Utan umfangs

Hlutir sem WindowsHelper gerir beinlínis ekki verjast:

Uppljóstrun