← ಹಿಂತಿರುಗಿ WindowsHelper

ಭದ್ರತಾ ಮಾದರಿ

ನಿಮ್ಮ PC + ನಿಮ್ಮ ಫೋನ್ ಅನ್ನು ಹೇಗೆ WindowsHelper ರಕ್ಷಿಸುತ್ತದೆ, ನಾವು ಯಾವ ಕ್ರಿಪ್ಟೋಗ್ರಫಿಯನ್ನು ಬಳಸುತ್ತೇವೆ ಮತ್ತು ನಾವು ಯಾವುದರ ವಿರುದ್ಧ ಸ್ಪಷ್ಟವಾಗಿ ರಕ್ಷಿಸುವುದಿಲ್ಲ. ಕೊನೆಯದಾಗಿ ನವೀಕರಿಸಲಾಗಿದೆ: 2026-04-25.

ದುರ್ಬಲತೆಯನ್ನು ವರದಿ ಮಾಡುವುದು

ಇಮೇಲ್ support@windowshelper.app ವಿಷಯದೊಂದಿಗೆ [security]. ದಯವಿಟ್ಟು ಸಾರ್ವಜನಿಕ GitHub ಸಮಸ್ಯೆಗಳನ್ನು ತೆರೆಯಬೇಡಿ - ಬಹಿರಂಗಪಡಿಸುವ ಮೊದಲು ಸರಿಪಡಿಸುವಿಕೆಯನ್ನು ರವಾನಿಸಲು ನಮಗೆ ವಿಂಡೋವನ್ನು ನೀಡಿ.

ಜೋಡಣೆ-ಕೋಡ್ ಜೀವನಚಕ್ರ

ಜೋಡಣೆ ಕೋಡ್ ಆಗಿದೆ ರಹಸ್ಯವನ್ನು ಹಂಚಿಕೊಂಡರು ಪ್ರತಿಯೊಂದು ಇತರ ಕ್ರಿಪ್ಟೋ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಪಡೆಯಲಾಗಿದೆ. ಪೂರ್ಣ ಜೀವನಚಕ್ರ:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

ಕ್ರಿಪ್ಟೋಗ್ರಫಿ

AES-256-GCM (ಕಮಾಂಡ್ ಗೌಪ್ಯತೆ + ಸಮಗ್ರತೆ)

ತಂತಿಯ ಮೂಲಕ ಕಳುಹಿಸಲಾದ ಪ್ರತಿಯೊಂದು ಆಜ್ಞೆಯನ್ನು AES-256-GCM ನೊಂದಿಗೆ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ, ಇದು ಪ್ರಮಾಣೀಕೃತ-ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಮೋಡ್ ಆಗಿದೆ.

HMAC-SHA256 (ಕಮಾಂಡ್ ದೃಢೀಕರಣ)

ಪ್ರತಿಯೊಂದು ಆಜ್ಞೆಯು HMAC ಸಹಿಯನ್ನು ಸಹ ಹೊಂದಿದೆ ಆದ್ದರಿಂದ ಜೋಡಿಸುವ ಕೋಡ್ ತಿಳಿದಿಲ್ಲದ ಫೋನ್ ಫೈರ್‌ಸ್ಟೋರ್‌ಗೆ ಬರೆಯಬಹುದಾದರೂ ಆಜ್ಞೆಗಳನ್ನು ಚುಚ್ಚುವುದಿಲ್ಲ.

ಬೆದರಿಕೆ ಮಾದರಿ

ಬೆದರಿಕೆಸ್ಥಿತಿಟಿಪ್ಪಣಿಗಳು
ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಕದ್ದಾಲಿಕೆತಗ್ಗಿಸಲಾಗಿದೆAES-GCM ಸೈಫರ್‌ಟೆಕ್ಸ್ಟ್ MITM ವೀಕ್ಷಕರಿಗೆ ಅಪಾರದರ್ಶಕವಾಗಿದೆ.
ಫೈರ್‌ಸ್ಟೋರ್ ಸರ್ವರ್‌ಗಳಲ್ಲಿ ಕದ್ದಾಲಿಕೆತಗ್ಗಿಸಲಾಗಿದೆGoogle sees AESGCM:... blobs, not commands.
ಫೈರ್‌ಸ್ಟೋರ್‌ಗೆ ಬರೆಯಬಹುದಾದ ಆದರೆ ಕೋಡ್ ತಿಳಿದಿಲ್ಲದ ದಾಳಿಕೋರತಗ್ಗಿಸಲಾಗಿದೆHMAC ಪರಿಶೀಲನೆ ವಿಫಲವಾಗಿದೆ; ಒಡನಾಡಿ ನಿರಾಕರಣೆಯನ್ನು ದಾಖಲಿಸುತ್ತಾನೆ + ಮರಣದಂಡನೆಯನ್ನು ನಿರಾಕರಿಸುತ್ತಾನೆ.
ಪೇರಿಂಗ್ ಕೋಡ್ ಅನ್ನು ಭೇದಿಸಿದ/ಫಿಶ್ ಮಾಡಿದ ದಾಳಿಕೋರಶೇಷಅವರು ಬಳಕೆದಾರರಂತೆ ಆಜ್ಞೆಗಳನ್ನು ನೀಡಬಹುದು. ತಗ್ಗಿಸುವಿಕೆ: ಟ್ರೇ ಮೆನುವಿನಿಂದ ಕೋಡ್ ಅನ್ನು ತಿರುಗಿಸಿ.
ರೆಕಾರ್ಡ್ ಮಾಡಿದ ಆಜ್ಞೆಯ ಮರುಪಂದ್ಯಶೇಷsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-ಮೋಡ್ ದೃಢೀಕರಿಸದ ಆಕ್ರಮಣಕಾರತಗ್ಗಿಸಲಾಗಿದೆವೆಬ್‌ಸಾಕೆಟ್ ಜೋಡಿ ಹ್ಯಾಂಡ್‌ಶೇಕ್ ಕೋಡ್ ಅನ್ನು ಮೌಲ್ಯೀಕರಿಸುತ್ತದೆ; HMAC + AES ಗೇಟ್ ಪ್ರತಿ ನಂತರದ ಆದೇಶ.
ಕದ್ದ ಜೋಡಿ ಕೀಲಿಯೊಂದಿಗೆ ರಾಜಿ ಮಾಡಿಕೊಂಡ ಫೋನ್ಶೇಷ"ಬಳಕೆದಾರರಿಂದ" ಪ್ರತ್ಯೇಕಿಸಲಾಗುವುದಿಲ್ಲ. ತಗ್ಗಿಸುವಿಕೆ: ದರ ಮಿತಿ (10 cmd/min) + ವಿನಾಶಕಾರಿ-ಕಮಾಂಡ್ ದೃಢೀಕರಣಕ್ಕೆ PC-ಸೈಡ್ ಕ್ಲಿಕ್ ಅಗತ್ಯವಿದೆ.
ಫೋನ್ ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ತಪ್ಪಾಗಿ ಟೈಪ್ ಮಾಡಿದ ಆಜ್ಞೆತಗ್ಗಿಸಲಾಗಿದೆಫೋನ್ ಬದಿಯ ಅನುಮತಿ ಪಟ್ಟಿಯು ಗುರುತಿಸದ ಪೂರ್ವಪ್ರತ್ಯಯಗಳನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ; ಕಂಪ್ಯಾನಿಯನ್-ಸೈಡ್ ಪ್ರಿ-ಫ್ಲೈಟ್ ಬ್ಲಾಕ್‌ಗಳು ಕಮಾಂಡ್‌ಗಳು ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಸೇವೆಗಳನ್ನು ಗುರಿಯಾಗಿಸುತ್ತದೆ.
ವಿನಾಶಕಾರಿ ಆಜ್ಞೆಯು ಆಕಸ್ಮಿಕವಾಗಿ ರನ್ ಆಗುತ್ತದೆತಗ್ಗಿಸಲಾಗಿದೆCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
ಹಂಗ್ / ರನ್‌ಅವೇ ಪವರ್‌ಶೆಲ್ ಪ್ರಕ್ರಿಯೆತಗ್ಗಿಸಲಾಗಿದೆಹಾರ್ಡ್ 5 ನಿಮಿಷಗಳ ಕಾಲಾವಧಿಯು ಸಂಪೂರ್ಣ ಪ್ರಕ್ರಿಯೆಯ ಮರವನ್ನು ಕೊಲ್ಲುತ್ತದೆ.
ಡೌನ್‌ಲೋಡ್ ಮತ್ತು ರನ್ ನಡುವೆ Companion .exe ಟ್ಯಾಂಪರಿಂಗ್ತಗ್ಗಿಸಲಾಗಿದೆSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion ಕ್ರ್ಯಾಶ್ ಸೋರಿಕೆ ಸೂಕ್ಷ್ಮ ಸ್ಥಿತಿತಗ್ಗಿಸಲಾಗಿದೆಕ್ರ್ಯಾಶ್ ವರದಿಗಳು + ಫೈರ್‌ಸ್ಟೋರ್ ದೋಷ ರೈಟ್‌ಬ್ಯಾಕ್‌ಗಳು ಸ್ಯಾನಿಟೈಜ್ ಆಗುತ್ತವೆ %USERPROFILE% / %MACHINE% / %USER%.
ಸ್ಟೋಲನ್ ಡಿವೈಸ್, ನಿರಂತರ ರಿಜಿಸ್ಟ್ರಿ ಪೇರಿಂಗ್ ಕೀಶೇಷಡಿಸ್ಕ್ + ಲಾಗಿನ್ ಪ್ರವೇಶದೊಂದಿಗೆ ಆಕ್ರಮಣಕಾರರು ನಿರಂತರ ಕೋಡ್ ಅನ್ನು ಓದಬಹುದು. ಭವಿಷ್ಯದ ಫಿಕ್ಸ್ ಇದನ್ನು Windows DPAPI ನೊಂದಿಗೆ ಸುತ್ತುತ್ತದೆ.

ವ್ಯಾಪ್ತಿಯಿಂದ ಹೊರಗಿದೆ

ವಿಷಯಗಳು WindowsHelper ಸ್ಪಷ್ಟವಾಗಿ ಮಾಡುತ್ತದೆ ಅಲ್ಲ ವಿರುದ್ಧ ರಕ್ಷಣೆ:

ಬಹಿರಂಗಪಡಿಸುವಿಕೆ