কীভাবে WindowsHelper আপনার PC + আপনার ফোনকে সুরক্ষিত করে, আমরা কোন ক্রিপ্টোগ্রাফি ব্যবহার করি এবং আমরা স্পষ্টভাবে কিসের বিরুদ্ধে রক্ষা করি না৷ সর্বশেষ আপডেট: 2026-04-25।
ইমেইল support@windowshelper.app বিষয় সহ [security]. অনুগ্রহ করে সর্বজনীন GitHub সমস্যাগুলি খুলবেন না — প্রকাশের আগে একটি সমাধান করার জন্য আমাদের একটি উইন্ডো দিন।
পেয়ারিং কোড হল শেয়ার করা গোপন প্রতিটি অন্যান্য ক্রিপ্টো অপারেশন থেকে উদ্ভূত. সম্পূর্ণ জীবনচক্র:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; একবার পেয়ার করা হলে, কোডটি মেমরিতে একচেটিয়াভাবে থাকে।তারের উপর প্রেরিত প্রতিটি কমান্ড AES-256-GCM, একটি প্রমাণীকৃত-এনক্রিপশন মোড দিয়ে এনক্রিপ্ট করা হয়।
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() ফোনে বা RandomNumberGenerator সহচর উপর.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>প্রতিটি কমান্ড একটি HMAC স্বাক্ষরও বহন করে তাই একটি ফোন যা পেয়ারিং কোড জানে না সেটি Firestore-এ লিখতে পারলেও কমান্ড ইনজেক্ট করতে পারে না।
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). এনক্রিপশন কী থেকে আলাদা করুন।HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). পাইপগুলি আক্ষরিক পাইপ অক্ষর, বিভেদক নয় - তিনটি সংযুক্ত স্ট্রিং।| হুমকি | স্ট্যাটাস | নোট |
|---|---|---|
| স্থানীয় নেটওয়ার্কে ইভসড্রপার | প্রশমিত | AES-GCM সাইফারটেক্সট MITM পর্যবেক্ষকদের কাছে অস্বচ্ছ। |
| Firestore সার্ভারে Eavesdropper | প্রশমিত | Google sees AESGCM:... blobs, not commands. |
| আক্রমণকারী যে ফায়ারস্টোরে লিখতে পারে কিন্তু কোড জানে না৷ | প্রশমিত | HMAC যাচাইকরণ ব্যর্থ হয়েছে; সঙ্গী প্রত্যাখ্যান লগ করে + মৃত্যুদন্ড প্রত্যাখ্যান করে। |
| আক্রমণকারী যে পেয়ারিং কোড ক্র্যাক/ফিশ করেছে | অবশিষ্ট | তারা কমান্ড জারি করতে পারে যেন তারা ব্যবহারকারী। প্রশমন: ট্রে মেনু থেকে কোডটি ঘোরান। |
| রেকর্ড করা কমান্ডের রিপ্লে | অবশিষ্ট | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-মোড অননুমোদিত আক্রমণকারী | প্রশমিত | WebSocket জোড়া হ্যান্ডশেক কোড বৈধ করে; HMAC + AES গেট প্রতিটি পরবর্তী কমান্ড. |
| চুরি হওয়া পেয়ারিং কী সহ আপোস করা ফোন | অবশিষ্ট | "ব্যবহারকারী নিজেই" থেকে আলাদা করা যায় না। প্রশমন: হারের সীমা (10 cmd/min) + ধ্বংসাত্মক-কমান্ড নিশ্চিতকরণের জন্য PC-সাইড ক্লিক প্রয়োজন। |
| ফোন অ্যাপ থেকে ভুল টাইপ করা কমান্ড | প্রশমিত | ফোন-সাইড অনুমোদিত তালিকা অচেনা উপসর্গ ব্লক করে; অনুপস্থিত পরিষেবাগুলিকে লক্ষ্য করে সঙ্গী-সাইড প্রি-ফ্লাইট ব্লক কমান্ড। |
| ধ্বংসাত্মক কমান্ড দুর্ঘটনাক্রমে চালানো হয় | প্রশমিত | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| হ্যাং / পলাতক পাওয়ারশেল প্রক্রিয়া | প্রশমিত | হার্ড 5-মিনিটের টাইমআউট পুরো প্রক্রিয়া গাছকে হত্যা করে। |
| Companion .exe ডাউনলোড এবং রানের মধ্যে ট্যাম্পারিং৷ | প্রশমিত | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion ক্র্যাশ লিকিং সংবেদনশীল অবস্থা৷ | প্রশমিত | ক্র্যাশ রিপোর্ট + ফায়ারস্টোর ত্রুটি রাইটব্যাক স্যানিটাইজ করে %USERPROFILE% / %MACHINE% / %USER%. |
| চুরি হওয়া ডিভাইস, রেজিস্ট্রি পেয়ারিং কী অব্যাহত আছে | অবশিষ্ট | ডিস্ক + লগইন অ্যাক্সেস সহ একজন আক্রমণকারী অব্যাহত কোড পড়তে পারে। ভবিষ্যত ফিক্স এটিকে Windows DPAPI দিয়ে মোড়ানো। |
জিনিসগুলি WindowsHelper স্পষ্টভাবে করে৷ না বিরুদ্ধে রক্ষা:
[security].