←返回WindowsHelper

安全模型

WindowsHelper 如何保護您的 PC + 手機、我們使用哪些加密技術以及我們明確不防禦哪些內容。最後更新時間:2026 年 4 月 25 日。

報告漏洞

電子郵件 support@windowshelper.app 有主題 [security]。請不要公開公開 GitHub 問題——在披露之前給我們一個發布修復程式的視窗。

配對程式碼生命週期

配對代碼是 共享秘密 所有其他加密操作都源自。完整生命週期:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

密碼學

AES-256-GCM(命令機密性+完整性)

透過線路發送的每個命令都使用 AES-256-GCM(一種經過身份驗證的加密模式)進行加密。

HMAC-SHA256(指令真實性)

每個指令還附帶 HMAC 簽名,因此不知道配對代碼的手機即使可以寫入 Firestore,也無法注入指令。

威脅模型

威脅狀態註解
本地網路的竊聽者緩解AES-GCM 密文對於 MITM 觀察者來說是不透明的。
Firestore 伺服器上的竊聽者緩解Google sees AESGCM:... blobs, not commands.
攻擊者可以寫入 Firestore 但不知道程式碼緩解HMAC驗證失敗;同伴記錄拒絕+拒絕執行。
破解/網路釣魚配對代碼的攻擊者殘差他們可以像用戶一樣發出命令。緩解措施:從托盤選單中旋轉代碼。
重播錄製的命令殘差sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN 模式未經驗證的攻擊者緩解WebSocket配對握手驗證碼; HMAC + AES 閘控每個後續指令。
配對密鑰被盜的手機被盜殘差與“用戶本身”沒有區別。緩解措施:速率限制(10 cmd/min)+破壞性指令確認需要 PC 端點擊。
從手機應用程式輸入錯誤的命令緩解電話端允許清單阻止無法識別的前綴;同伴端飛行前會阻止針對不存在服務的命令。
意外運行破壞性命令緩解Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
暫停/失控的 PowerShell 進程緩解5 分鐘硬超時會殺死整個進程樹。
Companion .exe 在下載和執行之間被竄改緩解SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion 崩潰洩漏敏感狀態緩解崩潰報告 + Firestore 錯誤寫回清理 %USERPROFILE% / %MACHINE% / %USER%.
被竊設備,保留註冊表配對金鑰殘差具有磁碟+登入存取權限的攻擊者可以讀取持久的程式碼。未來的修復將使用 Windows DPAPI 對其進行包裝。

超出範圍

WindowsHelper 明確執行的操作 防禦:

揭露