← WindowsHelper дегенге қайту

Қауіпсіздік моделі

WindowsHelper компьютеріңізді + телефоныңызды қалай қорғайды, біз қандай криптографияны қолданамыз және неден қорғамаймыз. Соңғы жаңартылған күні: 25.04.2026 ж.

осалдық туралы хабарлау

Электрондық пошта support@windowshelper.app тақырыбымен [security]. Жалпыға қолжетімді GitHub мәселелерін ашпаңыз — жарияламас бұрын бізге түзетуді жіберу үшін терезе беріңіз.

Жұптау кодының өмірлік циклі

Жұптастыру коды болып табылады ортақ құпия кез келген басқа криптографиялық операция мынадан туындайды. Толық өмірлік цикл:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Криптография

AES-256-GCM (командалық құпиялылық + тұтастық)

Сым арқылы жіберілген әрбір пәрмен AES-256-GCM, аутентификацияланған шифрлау режимімен шифрланады.

HMAC-SHA256 (пәрменнің түпнұсқалығы)

Әрбір пәрменде HMAC қолтаңбасы бар, сондықтан жұптастыру кодын білмейтін телефон Firestore-ға жаза алса да пәрмендерді енгізе алмайды.

Қауіп үлгісі

ҚауіпКүйЕскертпелер
Жергілікті желіде тыңдаушыЖеңілдетілгенAES-GCM шифрлық мәтіні MITM бақылаушылары үшін мөлдір емес.
Firestore серверлеріндегі тыңдаушыЖеңілдетілгенGoogle sees AESGCM:... blobs, not commands.
Firestore-ға жаза алатын, бірақ кодты білмейтін шабуылдаушыЖеңілдетілгенHMAC тексеру сәтсіз аяқталды; серіктес бас тартуды тіркейді + орындаудан бас тартады.
Жұптастыру кодын бұзған/фишинг жасаған шабуылдаушыҚалдықОлар пайдаланушы сияқты командалар бере алады. Жеңілдету: науа мәзірінен кодты айналдырыңыз.
Жазылған пәрменді қайталауҚалдықsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN режиміндегі аутентификацияланбаған шабуылдаушыЖеңілдетілгенWebSocket жұбының қол алысуы кодты тексереді; HMAC + AES қақпасы әрбір келесі пәрмен үшін.
Жұптастыру кілті ұрланған телефонҚалдық«Пайдаланушының өзінен» айырмашылығы жоқ. Жеңілдету: жылдамдық шегі (10 смд/мин) + деструктивті пәрменді растау үшін компьютер жағындағы басу қажет.
Телефон қолданбасынан қате терілген пәрменЖеңілдетілгенТелефон жағындағы рұқсаттар тізімі танылмаған префикстерді блоктайды; жоқ қызметтерге бағытталған командаларды рейс алдындағы серіктестік блоктар.
Деструктивті команда кездейсоқ іске қосыладыЖеңілдетілгенCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Ашылған/қашылған PowerShell процесіЖеңілдетілгенҚатты 5 минуттық күту уақыты бүкіл процесс ағашын жояды.
Companion .exe жүктеп алу және іске қосу арасында бұрмалауЖеңілдетілгенSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion апаттың ағып кетуі сезімтал күйіЖеңілдетілгенБұзылу туралы есептер + Firestore қателерін кері жазуды тазартады %USERPROFILE% / %MACHINE% / %USER%.
Ұрланған құрылғы, тұрақты тізілім жұптау кілтіҚалдықДиск + кіру рұқсаты бар шабуылдаушы тұрақты кодты оқи алады. Болашақта түзету оны Windows DPAPI арқылы аяқтайды.

Қолдану аясынан тыс

WindowsHelper әрекеттері анық емес қорғау:

Ашу