← Tillbaka till WindowsHelper

Säkerhetsmodell

Hur WindowsHelper skyddar din dator + din telefon, vilken kryptografi vi använder och vad vi uttryckligen inte försvarar oss mot. Senast uppdaterad: 2026-04-25.

rapportera en sårbarhet

E-post support@windowshelper.app med ämne [security]. Vänligen öppna inte offentliga GitHub-problem – ge oss ett fönster för att skicka en fix innan avslöjande.

Parningskods livscykel

Parningskoden är delad hemlighet varannan kryptooperation härrör från. Hela livscykeln:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Kryptografi

AES-256-GCM (kommandokonfidentialitet + integritet)

Varje kommando som skickas över tråden krypteras med AES-256-GCM, ett autentiserat krypteringsläge.

HMAC-SHA256 (kommandoäkthet)

Varje kommando har också en HMAC-signatur så en telefon som inte känner till parningskoden kan inte injicera kommandon även om den kan skriva till Firestore.

Hotmodell

HotStatusAnteckningar
Avlyssnare på det lokala nätverketMilderadAES-GCM chiffertext är ogenomskinlig för MITM-observatörer.
Avlyssning på Firestore-servrarMilderadGoogle sees AESGCM:... blobs, not commands.
Angripare som kan skriva till Firestore men inte känner till kodenMilderadHMAC-verifiering misslyckas; companion loggar avslaget + vägrar körning.
Angripare som knäckte / nätfiskade parningskodenRestDe kan utfärda kommandon som om de vore användaren. Begränsning: rotera koden från fältmenyn.
Uppspelning av ett inspelat kommandoRestsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
Oautentiserad angripare i LAN-lägeMilderadWebSocket-handskakning validerar koden; HMAC + AES gate varje efterföljande kommando.
Komprometterad telefon med stulen kopplingsnyckelRestKan inte skiljas från "användaren själva". Begränsning: hastighetsgräns (10 cmd/min) + destruktiv kommandobekräftelse kräver klick på PC-sidan.
Felskrivet kommando från telefonappenMilderadTillståndslista på telefonsidan blockerar okända prefix; följeslagare-sida pre-flight block kommandon inriktade på obefintliga tjänster.
Destruktivt kommando körs av misstagMilderadCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Hängd/runaway PowerShell-processMilderadHård 5-minuters timeout dödar hela processträdet.
Companion .exe-manipulering mellan nedladdning och körningMilderadSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion kraschläckande känsligt tillståndMilderadKraschrapporter + Firestore-felåterskrivningar saneras %USERPROFILE% / %MACHINE% / %USER%.
Stulen enhet, beständig registerparningsnyckelRestEn angripare med åtkomst till disk + inloggning kunde läsa den kvarstående koden. Framtida korrigering omsluter det med Windows DPAPI.

Utanför räckvidd

Saker som WindowsHelper uttryckligen gör inte försvara sig mot:

Avslöjande