Hvordan WindowsHelper beskytter din PC + telefonen din, hvilken kryptografi vi bruker, og hva vi eksplisitt ikke forsvarer oss mot. Sist oppdatert: 2026-04-25.
E-post support@windowshelper.app med emne [security]. Vennligst ikke åpne offentlige GitHub-problemer - gi oss et vindu for å sende en løsning før avsløring.
Paringskoden er delt hemmelighet annenhver kryptooperasjon stammer fra. Hele livssyklusen:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; når den er paret, forblir koden utelukkende i minnet.Hver kommando som sendes over ledningen er kryptert med AES-256-GCM, en autentisert krypteringsmodus.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() på telefon eller RandomNumberGenerator på følgesvenn.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Hver kommando har også en HMAC-signatur, slik at en telefon som ikke kjenner til sammenkoblingskoden ikke kan injisere kommandoer selv om den kan skrive til Firestore.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Separer fra krypteringsnøkkelen.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Pipene er bokstavelige rørtegn, ikke skilletegn - tre sammenkoblede strenger.| Trussel | Status | Notater |
|---|---|---|
| Avlytting på det lokale nettverket | Redusert | AES-GCM chiffertekst er ugjennomsiktig for MITM-observatører. |
| Avlytting på Firestore-servere | Redusert | Google sees AESGCM:... blobs, not commands. |
| Angriper som kan skrive til Firestore, men som ikke kjenner koden | Redusert | HMAC-verifisering mislykkes; ledsager logger avvisningen + nekter utførelse. |
| Angriper som knekket / phishet paringskoden | Rest | De kan gi kommandoer som om de var brukeren. Redusering: roter koden fra skuffmenyen. |
| Avspilling av en innspilt kommando | Rest | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| Uautentisert angriper i LAN-modus | Redusert | WebSocket par-håndtrykk validerer koden; HMAC + AES gate hver påfølgende kommando. |
| Kompromittert telefon med stjålet sammenkoblingsnøkkel | Rest | Kan ikke skilles fra "brukeren selv." Begrensning: hastighetsgrense (10 cmd/min) + destruktiv kommandobekreftelse krever klikk på PC-siden. |
| Feiltastet kommando fra telefonappen | Redusert | Tillatelseslisten på telefonsiden blokkerer ukjente prefikser; følgesvennside-kommandoer for blokkeringer før flygning rettet mot ikke-eksisterende tjenester. |
| Destruktiv kommando kjøres ved et uhell | Redusert | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Hung / runaway PowerShell-prosess | Redusert | Hard 5-minutters timeout dreper hele prosesstreet. |
| Companion .exe tukling mellom nedlasting og kjøring | Redusert | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion krasjlekker sensitiv tilstand | Redusert | Krasjrapporter + Firestore feilskrivninger renses %USERPROFILE% / %MACHINE% / %USER%. |
| Stjålet enhet, vedvarende registerparingsnøkkel | Rest | En angriper med disk + påloggingstilgang kunne lese den vedvarende koden. Fremtidig reparasjon omslutter den med Windows DPAPI. |
Ting WindowsHelper eksplisitt gjør ikke forsvare mot:
[security].