← WindowsHelper પર પાછા

સુરક્ષા મોડલ

કેવી રીતે WindowsHelper તમારા PC + તમારા ફોનને સુરક્ષિત કરે છે, અમે કઈ ક્રિપ્ટોગ્રાફીનો ઉપયોગ કરીએ છીએ અને અમે સ્પષ્ટપણે જેની સામે બચાવ કરતા નથી. છેલ્લે અપડેટ કર્યું: 25-04-2026.

નબળાઈની જાણ કરવી

ઈમેલ support@windowshelper.app વિષય સાથે [security]. કૃપા કરીને સાર્વજનિક GitHub સમસ્યાઓને ખોલશો નહીં — અમને જાહેરાત કરતા પહેલા ઠીક કરવા માટે વિન્ડો આપો.

પેરિંગ-કોડ જીવનચક્ર

પેરિંગ કોડ છે વહેંચાયેલ રહસ્ય દરેક અન્ય ક્રિપ્ટો ઓપરેશનમાંથી ઉતરી આવે છે. સંપૂર્ણ જીવનચક્ર:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

ક્રિપ્ટોગ્રાફી

AES-256-GCM (કમાન્ડ ગોપનીયતા + અખંડિતતા)

વાયર પર મોકલવામાં આવેલ દરેક આદેશ AES-256-GCM સાથે એન્ક્રિપ્ટેડ છે, જે એક પ્રમાણિત-એન્ક્રિપ્શન મોડ છે.

HMAC-SHA256 (આદેશ અધિકૃતતા)

દરેક કમાન્ડમાં HMAC સિગ્નેચર પણ હોય છે જેથી જે ફોન પેરિંગ કોડને જાણતો નથી તે ફાયરસ્ટોરને લખી શકે તો પણ કમાન્ડ ઇન્જેક્ટ કરી શકતો નથી.

ધમકી મોડેલ

ધમકીસ્થિતિનોંધો
સ્થાનિક નેટવર્ક પર ઈવેસ્ડ્રોપરહળવુંAES-GCM સાઇફરટેક્સ્ટ MITM નિરીક્ષકો માટે અપારદર્શક છે.
ફાયરસ્ટોર સર્વર પર ઇવેસ્ડ્રોપરહળવુંGoogle sees AESGCM:... blobs, not commands.
હુમલાખોર જે ફાયરસ્ટોરને લખી શકે છે પરંતુ કોડ જાણતો નથીહળવુંHMAC ચકાસણી નિષ્ફળ; સાથીદાર અસ્વીકારને લૉગ કરે છે + અમલનો ઇનકાર કરે છે.
પેરિંગ કોડ ક્રેક/ફિશ કરનાર હુમલાખોરશેષતેઓ આદેશો જારી કરી શકે છે જાણે કે તેઓ વપરાશકર્તા હોય. શમન: ટ્રે મેનૂમાંથી કોડને ફેરવો.
રેકોર્ડ કરેલા આદેશનું રિપ્લેશેષsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-મોડ અનધિકૃત હુમલાખોરહળવુંવેબસોકેટ જોડી હેન્ડશેક કોડને માન્ય કરે છે; HMAC + AES ગેટ દરેક અનુગામી આદેશ.
ચોરાયેલી પેરિંગ કી સાથે ચેડા કરેલો ફોનશેષ"પોતાના વપરાશકર્તા" થી અસ્પષ્ટ. શમન: દર મર્યાદા (10 cmd/min) + વિનાશક-કમાન્ડ પુષ્ટિકરણ માટે PC-સાઇડ ક્લિકની જરૂર છે.
ફોન એપ્લિકેશનમાંથી ખોટી રીતે લખાયેલ આદેશહળવુંફોન-સાઇડ મંજૂર સૂચિ અજાણ્યા ઉપસર્ગોને અવરોધિત કરે છે; કમ્પેનિયન-સાઇડ પ્રી-ફ્લાઇટ બ્લોક્સ આદેશો અસ્તિત્વમાં નથી.
વિનાશક આદેશ આકસ્મિક રીતે ચાલે છેહળવુંCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
હંગ / ભાગેડુ પાવરશેલ પ્રક્રિયાહળવુંસખત 5-મિનિટ સમયસમાપ્તિ સમગ્ર પ્રક્રિયા વૃક્ષને મારી નાખે છે.
Companion .exe ડાઉનલોડ અને રન વચ્ચે ચેડાંહળવુંSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion ક્રેશ લીક થવાની સંવેદનશીલ સ્થિતિહળવુંક્રેશ રિપોર્ટ્સ + ફાયરસ્ટોર એરર રાઇટબેક્સ સેનિટાઇઝ કરે છે %USERPROFILE% / %MACHINE% / %USER%.
ચોરાયેલ ઉપકરણ, ચાલુ રજિસ્ટ્રી જોડી કીશેષડિસ્ક + લોગિન એક્સેસ સાથેનો હુમલાખોર સતત કોડ વાંચી શકે છે. ભાવિ સુધારા તેને Windows DPAPI સાથે લપેટી લે છે.

અવકાશ બહાર

વસ્તુઓ WindowsHelper સ્પષ્ટપણે કરે છે નથી સામે બચાવ:

ડિસ્ક્લોઝર