WindowsHelper компьютеріңізді + телефоныңызды қалай қорғайды, біз қандай криптографияны қолданамыз және неден қорғамаймыз. Соңғы жаңартылған күні: 25.04.2026 ж.
Электрондық пошта support@windowshelper.app тақырыбымен [security]. Жалпыға қолжетімді GitHub мәселелерін ашпаңыз — жарияламас бұрын бізге түзетуді жіберу үшін терезе беріңіз.
Жұптастыру коды болып табылады ортақ құпия кез келген басқа криптографиялық операция мынадан туындайды. Толық өмірлік цикл:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; жұптастырылғаннан кейін код тек жадта қалады.Сым арқылы жіберілген әрбір пәрмен AES-256-GCM, аутентификацияланған шифрлау режимімен шифрланады.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() телефонда немесе RandomNumberGenerator серікте.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Әрбір пәрменде HMAC қолтаңбасы бар, сондықтан жұптастыру кодын білмейтін телефон Firestore-ға жаза алса да пәрмендерді енгізе алмайды.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Шифрлау кілтінен бөлек.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Құбырлар бөлгіштер емес, әріптік құбыр таңбалары болып табылады — үш біріктірілген жол.| Қауіп | Күй | Ескертпелер |
|---|---|---|
| Жергілікті желіде тыңдаушы | Жеңілдетілген | AES-GCM шифрлық мәтіні MITM бақылаушылары үшін мөлдір емес. |
| Firestore серверлеріндегі тыңдаушы | Жеңілдетілген | Google sees AESGCM:... blobs, not commands. |
| Firestore-ға жаза алатын, бірақ кодты білмейтін шабуылдаушы | Жеңілдетілген | HMAC тексеру сәтсіз аяқталды; серіктес бас тартуды тіркейді + орындаудан бас тартады. |
| Жұптастыру кодын бұзған/фишинг жасаған шабуылдаушы | Қалдық | Олар пайдаланушы сияқты командалар бере алады. Жеңілдету: науа мәзірінен кодты айналдырыңыз. |
| Жазылған пәрменді қайталау | Қалдық | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN режиміндегі аутентификацияланбаған шабуылдаушы | Жеңілдетілген | WebSocket жұбының қол алысуы кодты тексереді; HMAC + AES қақпасы әрбір келесі пәрмен үшін. |
| Жұптастыру кілті ұрланған телефон | Қалдық | «Пайдаланушының өзінен» айырмашылығы жоқ. Жеңілдету: жылдамдық шегі (10 смд/мин) + деструктивті пәрменді растау үшін компьютер жағындағы басу қажет. |
| Телефон қолданбасынан қате терілген пәрмен | Жеңілдетілген | Телефон жағындағы рұқсаттар тізімі танылмаған префикстерді блоктайды; жоқ қызметтерге бағытталған командаларды рейс алдындағы серіктестік блоктар. |
| Деструктивті команда кездейсоқ іске қосылады | Жеңілдетілген | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Ашылған/қашылған PowerShell процесі | Жеңілдетілген | Қатты 5 минуттық күту уақыты бүкіл процесс ағашын жояды. |
| Companion .exe жүктеп алу және іске қосу арасында бұрмалау | Жеңілдетілген | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion апаттың ағып кетуі сезімтал күйі | Жеңілдетілген | Бұзылу туралы есептер + Firestore қателерін кері жазуды тазартады %USERPROFILE% / %MACHINE% / %USER%. |
| Ұрланған құрылғы, тұрақты тізілім жұптау кілті | Қалдық | Диск + кіру рұқсаты бар шабуылдаушы тұрақты кодты оқи алады. Болашақта түзету оны Windows DPAPI арқылы аяқтайды. |
WindowsHelper әрекеттері анық емес қорғау:
[security].