← WindowsHelper руу буцах

Хамгаалалтын загвар

WindowsHelper нь таны компьютер + утсыг хэрхэн хамгаалдаг, бид ямар криптограф ашигладаг, мөн юунаас хамгаалахгүй вэ. Сүүлд шинэчлэгдсэн: 2026-04-25.

эмзэг байдлын талаар мэдээлэх

Имэйл support@windowshelper.app сэдэвтэй [security]. Олон нийтийн GitHub-н асуудлыг битгий нээгээрэй - ил болгохоос өмнө бидэнд засвар оруулах цонхыг өгөөрэй.

Хослуулах кодын амьдралын мөчлөг

Хослуулах код нь хуваалцсан нууц бусад бүх крипто үйл ажиллагаа нь үүнээс үүдэлтэй. Бүрэн амьдралын мөчлөг:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Криптограф

AES-256-GCM (тушаалын нууцлал + бүрэн бүтэн байдал)

Утсаар илгээсэн тушаал бүрийг AES-256-GCM, баталгаажуулсан шифрлэлтийн горимоор шифрлэдэг.

HMAC-SHA256 (тушаалын жинхэнэ байдал)

Команд бүр нь HMAC гарын үсэгтэй байдаг тул хослуулах кодыг мэдэхгүй утас нь Firestore руу бичиж чаддаг байсан ч команд оруулах боломжгүй.

Аюул заналхийллийн загвар

Аюул заналхийлэлСтатусТэмдэглэл
Дотоод сүлжээнд чагнасанХөнгөрүүлсэнAES-GCM шифр текст нь MITM ажиглагчдад тунгалаг биш юм.
Firestore серверүүд дээр чагнахХөнгөрүүлсэнGoogle sees AESGCM:... blobs, not commands.
Firestore руу бичиж чаддаг ч кодыг нь мэддэггүй халдагчХөнгөрүүлсэнHMAC баталгаажуулалт амжилтгүй болсон; хамтрагч татгалзсаныг бүртгэдэг + гүйцэтгэхээс татгалздаг.
Хослуулах кодыг эвдсэн/фишинг хийсэн халдагчҮлдэгдэлТэд хэрэглэгч юм шиг команд өгөх боломжтой. Хөнгөвчлөх: тавиур цэснээс кодыг эргүүлнэ үү.
Бичсэн командыг дахин тоглуулахҮлдэгдэлsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN горимын нэвтрэлт танигдаагүй халдагчХөнгөрүүлсэнWebSocket хос гар барих нь кодыг баталгаажуулдаг; HMAC + AES хаалга нь дараагийн тушаал бүр.
Хулгайлсан хосолсон түлхүүртэй утас алдагдсанҮлдэгдэл"Хэрэглэгч өөрөө" -ээс ялгагдахгүй. Хөнгөвчлөх: хурдны хязгаар (10 смд/мин) + устгах командын баталгаажуулалт нь компьютерийн хажуугийн товшилтыг шаарддаг.
Утасны програмын тушаалыг буруу бичсэн байнаХөнгөрүүлсэнУтасны талын зөвшөөрөгдсөн жагсаалт нь танигдаагүй угтваруудыг блоклодог; хамтрагч талын нислэгийн өмнө байхгүй үйлчилгээнд чиглэсэн командуудыг блоклодог.
Хор хөнөөлтэй командыг санамсаргүйгээр ажиллуулдагХөнгөрүүлсэнCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Өгөгдсөн / зугтсан PowerShell процессХөнгөрүүлсэнХатуу 5 минутын хугацаа нь процессын модыг бүхэлд нь устгадаг.
Companion .exe татаж авах болон ажиллуулах хооронд хөндлөнгөөс оролцож байнаХөнгөрүүлсэнSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion гэмтэл алдагдсан эмзэг төлөвХөнгөрүүлсэнГэмтлийн тайлан + Firestore алдаа бичихийг ариутгана %USERPROFILE% / %MACHINE% / %USER%.
Хулгайлагдсан төхөөрөмж. Бүртгэлийн холболтын түлхүүрҮлдэгдэлДиск + нэвтрэх эрхтэй халдагчид хадгалагдсан кодыг уншиж болно. Ирээдүйн засвар үүнийг Windows DPAPI-р боож өгнө.

Хамрах хүрээнээс гадуур

WindowsHelper-н хийдэг зүйлс үгүй хамгаалах:

Ил тод болгох