← Lura għal WindowsHelper

Mudell tas-Sigurtà

Kif WindowsHelper tipproteġi l-PC tiegħek + it-telefon tiegħek, liema kriptografija nużaw, u kontra dak li ma niddefendux espliċitament. Aġġornata l-aħħar: 2026-04-25.

tirrapporta vulnerabbiltà

Email support@windowshelper.app bis-suġġett [security]. Jekk jogħġbok ma tiftaħx kwistjonijiet pubbliċi ta' GitHub — agħtina tieqa biex nibgħatu soluzzjoni qabel l-iżvelar.

Ċiklu tal-ħajja tal-kodiċi ta' tqabbil

Il-kodiċi ta 'tqabbil huwa l- sigriet maqsum kull operazzjoni kripto oħra ġejja minn. Iċ-ċiklu tal-ħajja sħiħ:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Kriptografija

AES-256-GCM (kunfidenzjalità tal-kmand + integrità)

Kull kmand mibgħut fuq il-wajer huwa encrypted b'AES-256-GCM, mod ta 'kodifikazzjoni awtentikata.

HMAC-SHA256 (awtentiċità tal-kmand)

Kull kmand iġorr ukoll firma HMAC u għalhekk telefon li ma jafx il-kodiċi ta' tqabbil ma jkunx jista' jinjetta kmandi anki jekk jista' jikteb lil Firestore.

Mudell tat-theddida

TheddidaStatusNoti
Eavesdropper fuq in-netwerk lokaliMitigatiIt-test taċ-ċifra AES-GCM huwa opak għall-osservaturi tal-MITM.
Eavesdropper fuq servers FirestoreMitigatiGoogle sees AESGCM:... blobs, not commands.
Attakkant li jista' jikteb lil Firestore iżda ma jafx il-kodiċiMitigatiIl-verifika tal-HMAC tfalli; kumpann jirreġistra r-rifjut + jirrifjuta l-eżekuzzjoni.
Attakkant li kkrekkja / phishing il-kodiċi tal-tqabbilResidwuJistgħu joħorġu kmandi bħallikieku kienu l-utent. Mitigazzjoni: dawwar il-kodiċi mill-menu tat-trej.
Replay ta' kmand irreġistratResidwusentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
Attakkant mhux awtentikat fil-modalità LANMitigatiWebSocket par handshake jivvalida l-kodiċi; HMAC + AES gate kull kmand sussegwenti.
Telefown kompromess b'ċavetta ta' pairing misruqaResidwuIndistingwibbli minn "l-utent innifsu." Mitigazzjoni: limitu tar-rata (10 cmd/min) + konferma tal-kmand distruttiv teħtieġ ikklikkja fuq il-ġenb tal-PC.
Kmand ittajpjat ħażin mill-app tat-telefonMitigatiLista ta' permessi fuq in-naħa tat-telefown timblokka prefissi mhux rikonoxxuti; kmandi ta' blokki ta' qabel it-titjira min-naħa tal-kumpann li jimmiraw għal servizzi ineżistenti.
kmand distruttiv run aċċidentalmentMitigatiCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Proċess PowerShell mdendla / runawayMitigatiTimeout iebes ta '5 minuti joqtol is-siġra tal-proċess kollu.
Companion Tbagħbis .exe bejn download u runMitigatiSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion stat sensittiv li jnixxi l-ħabtaMitigatiIr-rapporti tal-ħabtiet + il-writebacks tal-iżbalji Firestore jiġu sanitizzati %USERPROFILE% / %MACHINE% / %USER%.
Apparat misruq, ppersisti ċavetta ta' pairing tar-ReġistruResidwuAttakkant b'aċċess disk + login jista 'jaqra l-kodiċi persistenti. Irranġat fil-ġejjieni jgħaqqadha b'Windows DPAPI.

Barra mill-ambitu

Affarijiet li WindowsHelper jagħmel b'mod espliċitu le tiddefendi kontra:

Żvelar