安全
感谢您帮助我们保护 HearRelay 用户的安全。本页介绍如何报告漏洞,并总结 HearRelay 的安全原则。
本翻译仅为方便阅读而提供。若本译本与英文版本之间存在任何冲突,以英文版本为准。
报告漏洞
请发送邮件至 hearrelay-security@conex-cp.com,并附上以下信息:
- 问题的清晰描述
- 复现步骤(或概念验证)
- 使用的 HearRelay 版本以及 iOS / iPadOS 版本
- 任何您已构思的缓解措施
- 是否希望公开致谢
我们建议优先使用电子邮件提交初次报告。必要时,我们可以启动 GitHub Security Advisory(私有披露) 以便后续协调。
在我们有机会响应并发布修复之前,请勿公开披露漏洞细节。
涵盖范围
以下内容在报告范围内:
- HearRelay iOS / iPadOS 应用本体
- 配对设备之间使用的加密握手与 TLS 传输
- 基于 iCloud Key-Value Storage 的节点发现过程
- 本地文件处理(录音存储与自动删除)
- 项目网站
hearrelay.app
不在涵盖范围内
- Apple 操作系统、框架或 iCloud 基础设施中的漏洞 — 请直接向 Apple 报告
- 第三方 Wi-Fi 路由器、蓝牙耳机或其他硬件的漏洞
- 针对开发者或其他用户的社会工程攻击
- GitHub Pages 平台之外我们无法配置的安全头问题
- 仅在越狱或其他受损设备上才能复现的问题
响应目标
| 严重程度 |
初次响应 |
修复目标 |
| 严重 |
24 小时以内 |
7 天以内 |
| 高 |
3 天以内 |
30 天以内 |
| 中 / 低 |
7 天以内 |
下一个常规版本 |
上述为目标,非保证。
协调披露
- 我们会在调查期间持续与您沟通。
- 我们会共同商定公开披露的日期,通常在修复版本发布时。
- 发布时我们会公布安全公告,并在您同意的情况下向您致谢。
安全原则概述
HearRelay 围绕三个原则设计:
- 最小化数据 — 音频和录音不会离开您的设备;没有任何分析或广告 SDK。
- 仅限本地网络 — 配对设备仅在同一 Wi-Fi / 本地网络上通信,绝不通过互联网通信。
- 加密的节点身份 — 设备之间通过 Curve25519 / P-256 密钥相互识别,在支持的设备上密钥保存在 Secure Enclave 中,并通过以您的 Apple ID 为作用域的 iCloud Key-Value Storage 进行发现。
传输使用 TLS 1.3 加密,仅使用 iOS 提供的 AEAD 密码套件。
如需更详尽的内部描述,请参阅项目设计文档。
联系方式
- 安全报告:hearrelay-security@conex-cp.com
- 一般联系:hearrelay-support@conex-cp.com
English version: Security