Kif WindowsHelper tipproteġi l-PC tiegħek + it-telefon tiegħek, liema kriptografija nużaw, u kontra dak li ma niddefendux espliċitament. Aġġornata l-aħħar: 2026-04-25.
Email support@windowshelper.app bis-suġġett [security]. Jekk jogħġbok ma tiftaħx kwistjonijiet pubbliċi ta' GitHub — agħtina tieqa biex nibgħatu soluzzjoni qabel l-iżvelar.
Il-kodiċi ta 'tqabbil huwa l- sigriet maqsum kull operazzjoni kripto oħra ġejja minn. Iċ-ċiklu tal-ħajja sħiħ:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; ladarba jkun imqabbad, il-kodiċi jibqa' fil-memorja esklussivament.Kull kmand mibgħut fuq il-wajer huwa encrypted b'AES-256-GCM, mod ta 'kodifikazzjoni awtentikata.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() fuq it-telefon jew RandomNumberGenerator fuq kumpann.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Kull kmand iġorr ukoll firma HMAC u għalhekk telefon li ma jafx il-kodiċi ta' tqabbil ma jkunx jista' jinjetta kmandi anki jekk jista' jikteb lil Firestore.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Issepara miċ-ċavetta tal-kriptaġġ.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Il-pajpijiet huma karattri tal-pajp litterali, mhux delimitaturi - tliet kordi konkatenati.| Theddida | Status | Noti |
|---|---|---|
| Eavesdropper fuq in-netwerk lokali | Mitigati | It-test taċ-ċifra AES-GCM huwa opak għall-osservaturi tal-MITM. |
| Eavesdropper fuq servers Firestore | Mitigati | Google sees AESGCM:... blobs, not commands. |
| Attakkant li jista' jikteb lil Firestore iżda ma jafx il-kodiċi | Mitigati | Il-verifika tal-HMAC tfalli; kumpann jirreġistra r-rifjut + jirrifjuta l-eżekuzzjoni. |
| Attakkant li kkrekkja / phishing il-kodiċi tal-tqabbil | Residwu | Jistgħu joħorġu kmandi bħallikieku kienu l-utent. Mitigazzjoni: dawwar il-kodiċi mill-menu tat-trej. |
| Replay ta' kmand irreġistrat | Residwu | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| Attakkant mhux awtentikat fil-modalità LAN | Mitigati | WebSocket par handshake jivvalida l-kodiċi; HMAC + AES gate kull kmand sussegwenti. |
| Telefown kompromess b'ċavetta ta' pairing misruqa | Residwu | Indistingwibbli minn "l-utent innifsu." Mitigazzjoni: limitu tar-rata (10 cmd/min) + konferma tal-kmand distruttiv teħtieġ ikklikkja fuq il-ġenb tal-PC. |
| Kmand ittajpjat ħażin mill-app tat-telefon | Mitigati | Lista ta' permessi fuq in-naħa tat-telefown timblokka prefissi mhux rikonoxxuti; kmandi ta' blokki ta' qabel it-titjira min-naħa tal-kumpann li jimmiraw għal servizzi ineżistenti. |
| kmand distruttiv run aċċidentalment | Mitigati | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Proċess PowerShell mdendla / runaway | Mitigati | Timeout iebes ta '5 minuti joqtol is-siġra tal-proċess kollu. |
| Companion Tbagħbis .exe bejn download u run | Mitigati | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion stat sensittiv li jnixxi l-ħabta | Mitigati | Ir-rapporti tal-ħabtiet + il-writebacks tal-iżbalji Firestore jiġu sanitizzati %USERPROFILE% / %MACHINE% / %USER%. |
| Apparat misruq, ppersisti ċavetta ta' pairing tar-Reġistru | Residwu | Attakkant b'aċċess disk + login jista 'jaqra l-kodiċi persistenti. Irranġat fil-ġejjieni jgħaqqadha b'Windows DPAPI. |
Affarijiet li WindowsHelper jagħmel b'mod espliċitu le tiddefendi kontra:
[security].