← ກັບໄປທີ່ WindowsHelper

ຮູບແບບຄວາມປອດໄພ

WindowsHelper ປົກປ້ອງ PC + ໂທລະສັບຂອງທ່ານແນວໃດ, ການເຂົ້າລະຫັດລັບທີ່ພວກເຮົາໃຊ້, ແລະສິ່ງທີ່ພວກເຮົາບໍ່ໄດ້ປ້ອງກັນຢ່າງຈະແຈ້ງ. ອັບເດດຫຼ້າສຸດ: 2026-04-25.

ລາຍງານຄວາມອ່ອນແອ

ອີເມວ support@windowshelper.app ກັບຫົວຂໍ້ [security]. ກະ​ລຸ​ນາ​ຢ່າ​ເປີດ​ບັນ​ຫາ GitHub ເປັນ​ສາ​ທາ​ລະ​ນະ — ໃຫ້​ພວກ​ເຮົາ​ປ່ອງ​ຢ້ຽມ​ເພື່ອ​ສົ່ງ​ການ​ແກ້​ໄຂ​ກ່ອນ​ທີ່​ຈະ​ເປີດ​ເຜີຍ​.

ວົງຈອນການຈັບຄູ່ລະຫັດ

ລະຫັດການຈັບຄູ່ແມ່ນ ແບ່ງປັນຄວາມລັບ ທຸກໆການດໍາເນີນງານ crypto ອື່ນໆແມ່ນມາຈາກ. ວົງຈອນຊີວິດອັນເຕັມທີ່:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

ການເຂົ້າລະຫັດລັບ

AES-256-GCM (ຄວາມລັບຂອງຄໍາສັ່ງ + ຄວາມຊື່ສັດ)

ທຸກໆຄຳສັ່ງທີ່ສົ່ງຜ່ານສາຍຈະຖືກເຂົ້າລະຫັດດ້ວຍ AES-256-GCM, ໂໝດການເຂົ້າລະຫັດທີ່ຮັບຮອງຄວາມຖືກຕ້ອງ.

HMAC-SHA256 (ຄວາມຖືກຕ້ອງຂອງຄໍາສັ່ງ)

ທຸກໆຄໍາສັ່ງຍັງມີລາຍເຊັນ HMAC ດັ່ງນັ້ນໂທລະສັບທີ່ບໍ່ຮູ້ລະຫັດການຈັບຄູ່ບໍ່ສາມາດໃສ່ຄໍາສັ່ງເຖິງແມ່ນວ່າມັນສາມາດຂຽນໃສ່ Firestore ໄດ້.

ຮູບແບບໄພຂົ່ມຂູ່

ໄພຂົ່ມຂູ່ສະຖານະບັນທຶກ
Eavesdropper ໃນເຄືອຂ່າຍທ້ອງຖິ່ນຫຼຸດຜ່ອນAES-GCM ciphertext ແມ່ນ opaque ກັບຜູ້ສັງເກດການ MITM.
Eavesdropper ໃນເຊີບເວີ Firestoreຫຼຸດຜ່ອນGoogle sees AESGCM:... blobs, not commands.
ຜູ້ໂຈມຕີທີ່ສາມາດຂຽນໄປທີ່ Firestore ແຕ່ບໍ່ຮູ້ລະຫັດຫຼຸດຜ່ອນການຢັ້ງຢືນ HMAC ລົ້ມເຫລວ; companion ບັນທຶກການປະຕິເສດ + ປະຕິເສດການປະຕິບັດ.
ຜູ້ໂຈມຕີຜູ້ທີ່ crack / phished ລະຫັດການຈັບຄູ່ຕົກຄ້າງພວກເຂົາສາມາດອອກຄໍາສັ່ງຄືກັບວ່າພວກເຂົາເປັນຜູ້ໃຊ້. ການຫຼຸດຜ່ອນ: ໝຸນລະຫັດຈາກເມນູຖາດ.
Replay ຂອງຄໍາສັ່ງທີ່ບັນທຶກໄວ້ຕົກຄ້າງsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
ຕົວໂຈມຕີທີ່ບໍ່ໄດ້ຮັບການຢືນຢັນໃນໂໝດ LANຫຼຸດຜ່ອນການຈັບມືຄູ່ WebSocket ຢືນຢັນລະຫັດ; HMAC + AES ປະຕູທຸກຄໍາສັ່ງຕໍ່ໄປ.
ໂທລະສັບທີ່ຖືກລັກມີກະແຈຈັບຄູ່ຖືກລັກຕົກຄ້າງແຍກອອກຈາກ "ຜູ້ໃຊ້ເອງ." ການຫຼຸດຜ່ອນ: ຂີດຈໍາກັດອັດຕາ (10 cmd / ນາທີ) + ການຢືນຢັນຄໍາສັ່ງທໍາລາຍຕ້ອງການຄລິກຂ້າງ PC.
ຄໍາ​ສັ່ງ​ຜິດ​ພາດ​ຈາກ app ໂທລະ​ສັບ​ຫຼຸດຜ່ອນບັນຊີລາຍການທີ່ອະນຸຍາດດ້ານໂທລະສັບປິດກັ້ນການນຳໜ້າທີ່ບໍ່ຮູ້ຈັກ; companion-side pre-flight blocks ຄໍາສັ່ງເປົ້າຫມາຍການບໍລິການທີ່ບໍ່ມີ.
ຄໍາສັ່ງທໍາລາຍຈະດໍາເນີນການໂດຍບັງເອີນຫຼຸດຜ່ອນCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
ຂະບວນການ PowerShell Hung / runawayຫຼຸດຜ່ອນຍາກໝົດເວລາ 5 ນາທີຂ້າຕົ້ນໄມ້ຂະບວນການທັງໝົດ.
Companion .exe ການຂັດຂວາງລະຫວ່າງການດາວໂຫຼດ ແລະ ການແລ່ນຫຼຸດຜ່ອນSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion ສະຖານະທີ່ລະອຽດອ່ອນຮົ່ວໄຫຼຂັດຂ້ອງຫຼຸດຜ່ອນລາຍງານການຂັດຂ້ອງ + ການຂຽນຄືນຂໍ້ຜິດພາດຂອງ Firestore ເປັນການອະນາໄມ %USERPROFILE% / %MACHINE% / %USER%.
ອຸປະກອນຖືກລັກ, ລະຫັດການຈັບຄູ່ Registry ຍັງຄົງຄ້າງຕົກຄ້າງຜູ້ໂຈມຕີທີ່ມີການເຂົ້າເຖິງ disk + login ສາມາດອ່ານລະຫັດທີ່ຍັງຄົງຢູ່. ການແກ້ໄຂໃນອະນາຄົດຈະຫໍ່ມັນດ້ວຍ Windows DPAPI.

ເກີນຂອບເຂດ

ສິ່ງທີ່ WindowsHelper ເຮັດຢ່າງຈະແຈ້ງ ບໍ່ ປ້ອງກັນ:

ການເປີດເຜີຍ