કેવી રીતે WindowsHelper તમારા PC + તમારા ફોનને સુરક્ષિત કરે છે, અમે કઈ ક્રિપ્ટોગ્રાફીનો ઉપયોગ કરીએ છીએ અને અમે સ્પષ્ટપણે જેની સામે બચાવ કરતા નથી. છેલ્લે અપડેટ કર્યું: 25-04-2026.
ઈમેલ support@windowshelper.app વિષય સાથે [security]. કૃપા કરીને સાર્વજનિક GitHub સમસ્યાઓને ખોલશો નહીં — અમને જાહેરાત કરતા પહેલા ઠીક કરવા માટે વિન્ડો આપો.
પેરિંગ કોડ છે વહેંચાયેલ રહસ્ય દરેક અન્ય ક્રિપ્ટો ઓપરેશનમાંથી ઉતરી આવે છે. સંપૂર્ણ જીવનચક્ર:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; એકવાર જોડાઈ ગયા પછી, કોડ ફક્ત મેમરીમાં જ રહે છે.વાયર પર મોકલવામાં આવેલ દરેક આદેશ AES-256-GCM સાથે એન્ક્રિપ્ટેડ છે, જે એક પ્રમાણિત-એન્ક્રિપ્શન મોડ છે.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() ફોન પર અથવા RandomNumberGenerator સાથી પર.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>દરેક કમાન્ડમાં HMAC સિગ્નેચર પણ હોય છે જેથી જે ફોન પેરિંગ કોડને જાણતો નથી તે ફાયરસ્ટોરને લખી શકે તો પણ કમાન્ડ ઇન્જેક્ટ કરી શકતો નથી.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). એન્ક્રિપ્શન કીથી અલગ કરો.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). પાઇપ્સ શાબ્દિક પાઇપ અક્ષરો છે, સીમાંકક નથી - ત્રણ સંકલિત તાર.| ધમકી | સ્થિતિ | નોંધો |
|---|---|---|
| સ્થાનિક નેટવર્ક પર ઈવેસ્ડ્રોપર | હળવું | AES-GCM સાઇફરટેક્સ્ટ MITM નિરીક્ષકો માટે અપારદર્શક છે. |
| ફાયરસ્ટોર સર્વર પર ઇવેસ્ડ્રોપર | હળવું | Google sees AESGCM:... blobs, not commands. |
| હુમલાખોર જે ફાયરસ્ટોરને લખી શકે છે પરંતુ કોડ જાણતો નથી | હળવું | HMAC ચકાસણી નિષ્ફળ; સાથીદાર અસ્વીકારને લૉગ કરે છે + અમલનો ઇનકાર કરે છે. |
| પેરિંગ કોડ ક્રેક/ફિશ કરનાર હુમલાખોર | શેષ | તેઓ આદેશો જારી કરી શકે છે જાણે કે તેઓ વપરાશકર્તા હોય. શમન: ટ્રે મેનૂમાંથી કોડને ફેરવો. |
| રેકોર્ડ કરેલા આદેશનું રિપ્લે | શેષ | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-મોડ અનધિકૃત હુમલાખોર | હળવું | વેબસોકેટ જોડી હેન્ડશેક કોડને માન્ય કરે છે; HMAC + AES ગેટ દરેક અનુગામી આદેશ. |
| ચોરાયેલી પેરિંગ કી સાથે ચેડા કરેલો ફોન | શેષ | "પોતાના વપરાશકર્તા" થી અસ્પષ્ટ. શમન: દર મર્યાદા (10 cmd/min) + વિનાશક-કમાન્ડ પુષ્ટિકરણ માટે PC-સાઇડ ક્લિકની જરૂર છે. |
| ફોન એપ્લિકેશનમાંથી ખોટી રીતે લખાયેલ આદેશ | હળવું | ફોન-સાઇડ મંજૂર સૂચિ અજાણ્યા ઉપસર્ગોને અવરોધિત કરે છે; કમ્પેનિયન-સાઇડ પ્રી-ફ્લાઇટ બ્લોક્સ આદેશો અસ્તિત્વમાં નથી. |
| વિનાશક આદેશ આકસ્મિક રીતે ચાલે છે | હળવું | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| હંગ / ભાગેડુ પાવરશેલ પ્રક્રિયા | હળવું | સખત 5-મિનિટ સમયસમાપ્તિ સમગ્ર પ્રક્રિયા વૃક્ષને મારી નાખે છે. |
| Companion .exe ડાઉનલોડ અને રન વચ્ચે ચેડાં | હળવું | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion ક્રેશ લીક થવાની સંવેદનશીલ સ્થિતિ | હળવું | ક્રેશ રિપોર્ટ્સ + ફાયરસ્ટોર એરર રાઇટબેક્સ સેનિટાઇઝ કરે છે %USERPROFILE% / %MACHINE% / %USER%. |
| ચોરાયેલ ઉપકરણ, ચાલુ રજિસ્ટ્રી જોડી કી | શેષ | ડિસ્ક + લોગિન એક્સેસ સાથેનો હુમલાખોર સતત કોડ વાંચી શકે છે. ભાવિ સુધારા તેને Windows DPAPI સાથે લપેટી લે છે. |
વસ્તુઓ WindowsHelper સ્પષ્ટપણે કરે છે નથી સામે બચાવ:
[security].