← Tilbake til WindowsHelper

Sikkerhetsmodell

Hvordan WindowsHelper beskytter din PC + telefonen din, hvilken kryptografi vi bruker, og hva vi eksplisitt ikke forsvarer oss mot. Sist oppdatert: 2026-04-25.

rapportere en sårbarhet

E-post support@windowshelper.app med emne [security]. Vennligst ikke åpne offentlige GitHub-problemer - gi oss et vindu for å sende en løsning før avsløring.

Paringskode livssyklus

Paringskoden er delt hemmelighet annenhver kryptooperasjon stammer fra. Hele livssyklusen:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Kryptografi

AES-256-GCM (kommandokonfidensialitet + integritet)

Hver kommando som sendes over ledningen er kryptert med AES-256-GCM, en autentisert krypteringsmodus.

HMAC-SHA256 (kommandoautentisitet)

Hver kommando har også en HMAC-signatur, slik at en telefon som ikke kjenner til sammenkoblingskoden ikke kan injisere kommandoer selv om den kan skrive til Firestore.

Trusselmodell

TrusselStatusNotater
Avlytting på det lokale nettverketRedusertAES-GCM chiffertekst er ugjennomsiktig for MITM-observatører.
Avlytting på Firestore-servereRedusertGoogle sees AESGCM:... blobs, not commands.
Angriper som kan skrive til Firestore, men som ikke kjenner kodenRedusertHMAC-verifisering mislykkes; ledsager logger avvisningen + nekter utførelse.
Angriper som knekket / phishet paringskodenRestDe kan gi kommandoer som om de var brukeren. Redusering: roter koden fra skuffmenyen.
Avspilling av en innspilt kommandoRestsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
Uautentisert angriper i LAN-modusRedusertWebSocket par-håndtrykk validerer koden; HMAC + AES gate hver påfølgende kommando.
Kompromittert telefon med stjålet sammenkoblingsnøkkelRestKan ikke skilles fra "brukeren selv." Begrensning: hastighetsgrense (10 cmd/min) + destruktiv kommandobekreftelse krever klikk på PC-siden.
Feiltastet kommando fra telefonappenRedusertTillatelseslisten på telefonsiden blokkerer ukjente prefikser; følgesvennside-kommandoer for blokkeringer før flygning rettet mot ikke-eksisterende tjenester.
Destruktiv kommando kjøres ved et uhellRedusertCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Hung / runaway PowerShell-prosessRedusertHard 5-minutters timeout dreper hele prosesstreet.
Companion .exe tukling mellom nedlasting og kjøringRedusertSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion krasjlekker sensitiv tilstandRedusertKrasjrapporter + Firestore feilskrivninger renses %USERPROFILE% / %MACHINE% / %USER%.
Stjålet enhet, vedvarende registerparingsnøkkelRestEn angriper med disk + påloggingstilgang kunne lese den vedvarende koden. Fremtidig reparasjon omslutter den med Windows DPAPI.

Utenfor rekkevidde

Ting WindowsHelper eksplisitt gjør ikke forsvare mot:

Avsløring