WindowsHelper нь таны компьютер + утсыг хэрхэн хамгаалдаг, бид ямар криптограф ашигладаг, мөн юунаас хамгаалахгүй вэ. Сүүлд шинэчлэгдсэн: 2026-04-25.
Имэйл support@windowshelper.app сэдэвтэй [security]. Олон нийтийн GitHub-н асуудлыг битгий нээгээрэй - ил болгохоос өмнө бидэнд засвар оруулах цонхыг өгөөрэй.
Хослуулах код нь хуваалцсан нууц бусад бүх крипто үйл ажиллагаа нь үүнээс үүдэлтэй. Бүрэн амьдралын мөчлөг:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; Хослогдсоны дараа код зөвхөн санах ойд үлдэнэ.Утсаар илгээсэн тушаал бүрийг AES-256-GCM, баталгаажуулсан шифрлэлтийн горимоор шифрлэдэг.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() утсаар эсвэл RandomNumberGenerator хамтрагч дээр.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Команд бүр нь HMAC гарын үсэгтэй байдаг тул хослуулах кодыг мэдэхгүй утас нь Firestore руу бичиж чаддаг байсан ч команд оруулах боломжгүй.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Шифрлэлтийн түлхүүрээс тусад нь.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Хоолойнууд нь зааглагч биш харин шууд утгаараа хоолойн тэмдэгтүүд юм - гурван холбосон мөр.| Аюул заналхийлэл | Статус | Тэмдэглэл |
|---|---|---|
| Дотоод сүлжээнд чагнасан | Хөнгөрүүлсэн | AES-GCM шифр текст нь MITM ажиглагчдад тунгалаг биш юм. |
| Firestore серверүүд дээр чагнах | Хөнгөрүүлсэн | Google sees AESGCM:... blobs, not commands. |
| Firestore руу бичиж чаддаг ч кодыг нь мэддэггүй халдагч | Хөнгөрүүлсэн | HMAC баталгаажуулалт амжилтгүй болсон; хамтрагч татгалзсаныг бүртгэдэг + гүйцэтгэхээс татгалздаг. |
| Хослуулах кодыг эвдсэн/фишинг хийсэн халдагч | Үлдэгдэл | Тэд хэрэглэгч юм шиг команд өгөх боломжтой. Хөнгөвчлөх: тавиур цэснээс кодыг эргүүлнэ үү. |
| Бичсэн командыг дахин тоглуулах | Үлдэгдэл | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN горимын нэвтрэлт танигдаагүй халдагч | Хөнгөрүүлсэн | WebSocket хос гар барих нь кодыг баталгаажуулдаг; HMAC + AES хаалга нь дараагийн тушаал бүр. |
| Хулгайлсан хосолсон түлхүүртэй утас алдагдсан | Үлдэгдэл | "Хэрэглэгч өөрөө" -ээс ялгагдахгүй. Хөнгөвчлөх: хурдны хязгаар (10 смд/мин) + устгах командын баталгаажуулалт нь компьютерийн хажуугийн товшилтыг шаарддаг. |
| Утасны програмын тушаалыг буруу бичсэн байна | Хөнгөрүүлсэн | Утасны талын зөвшөөрөгдсөн жагсаалт нь танигдаагүй угтваруудыг блоклодог; хамтрагч талын нислэгийн өмнө байхгүй үйлчилгээнд чиглэсэн командуудыг блоклодог. |
| Хор хөнөөлтэй командыг санамсаргүйгээр ажиллуулдаг | Хөнгөрүүлсэн | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Өгөгдсөн / зугтсан PowerShell процесс | Хөнгөрүүлсэн | Хатуу 5 минутын хугацаа нь процессын модыг бүхэлд нь устгадаг. |
| Companion .exe татаж авах болон ажиллуулах хооронд хөндлөнгөөс оролцож байна | Хөнгөрүүлсэн | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion гэмтэл алдагдсан эмзэг төлөв | Хөнгөрүүлсэн | Гэмтлийн тайлан + Firestore алдаа бичихийг ариутгана %USERPROFILE% / %MACHINE% / %USER%. |
| Хулгайлагдсан төхөөрөмж. Бүртгэлийн холболтын түлхүүр | Үлдэгдэл | Диск + нэвтрэх эрхтэй халдагчид хадгалагдсан кодыг уншиж болно. Ирээдүйн засвар үүнийг Windows DPAPI-р боож өгнө. |
WindowsHelper-н хийдэг зүйлс үгүй хамгаалах:
[security].