എങ്ങനെ WindowsHelper നിങ്ങളുടെ PC + നിങ്ങളുടെ ഫോൺ പരിരക്ഷിക്കുന്നു, ഞങ്ങൾ ഉപയോഗിക്കുന്ന ക്രിപ്റ്റോഗ്രാഫി, കൂടാതെ ഞങ്ങൾ വ്യക്തമായി പ്രതിരോധിക്കാത്തവ എന്നിവ. അവസാനം അപ്ഡേറ്റ് ചെയ്തത്: 2026-04-25.
ഇമെയിൽ support@windowshelper.app വിഷയവുമായി [security]. ദയവായി പൊതു GitHub പ്രശ്നങ്ങൾ തുറക്കരുത് - വെളിപ്പെടുത്തുന്നതിന് മുമ്പ് ഒരു പരിഹാരം അയയ്ക്കാൻ ഞങ്ങൾക്ക് ഒരു വിൻഡോ നൽകുക.
ജോടിയാക്കൽ കോഡ് ആണ് രഹസ്യം പങ്കിട്ടു മറ്റെല്ലാ ക്രിപ്റ്റോ ഓപ്പറേഷനും ഉത്ഭവിക്കുന്നത്. മുഴുവൻ ജീവിതചക്രം:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; ഒരിക്കൽ ജോടിയാക്കിയാൽ, കോഡ് മെമ്മറിയിൽ മാത്രമായി നിലനിൽക്കും.വയർ വഴി അയയ്ക്കുന്ന എല്ലാ കമാൻഡുകളും AES-256-GCM ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു, ഒരു ആധികാരിക-എൻക്രിപ്ഷൻ മോഡ്.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() ഫോണിൽ അല്ലെങ്കിൽ RandomNumberGenerator സഹജീവിയിൽ.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>ഓരോ കമാൻഡും ഒരു HMAC സിഗ്നേച്ചറും വഹിക്കുന്നു, അതിനാൽ ജോടിയാക്കൽ കോഡ് അറിയാത്ത ഫോണിന് ഫയർസ്റ്റോറിലേക്ക് എഴുതാമെങ്കിലും കമാൻഡുകൾ കുത്തിവയ്ക്കാൻ കഴിയില്ല.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). എൻക്രിപ്ഷൻ കീയിൽ നിന്ന് വേർതിരിക്കുക.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). പൈപ്പുകൾ അക്ഷരാർത്ഥത്തിലുള്ള പൈപ്പ് പ്രതീകങ്ങളാണ്, ഡിലിമിറ്ററുകളല്ല - മൂന്ന് സംയോജിത സ്ട്രിംഗുകൾ.| ഭീഷണി | നില | കുറിപ്പുകൾ |
|---|---|---|
| പ്രാദേശിക ശൃംഖലയിൽ ഒളിഞ്ഞുനോട്ടക്കാരൻ | ലഘൂകരിക്കപ്പെട്ടു | MITM നിരീക്ഷകർക്ക് AES-GCM സൈഫർടെക്സ്റ്റ് അതാര്യമാണ്. |
| ഫയർസ്റ്റോർ സെർവറുകളിൽ കേൾക്കുന്നയാൾ | ലഘൂകരിക്കപ്പെട്ടു | Google sees AESGCM:... blobs, not commands. |
| ഫയർസ്റ്റോറിലേക്ക് എഴുതാൻ കഴിയുന്ന, എന്നാൽ കോഡ് അറിയാത്ത ആക്രമണകാരി | ലഘൂകരിക്കപ്പെട്ടു | HMAC പരിശോധന പരാജയപ്പെട്ടു; കൂട്ടുകാരൻ നിരസിക്കൽ രേഖപ്പെടുത്തുന്നു + നിർവ്വഹണം നിരസിക്കുന്നു. |
| ജോടിയാക്കൽ കോഡ് തകർത്ത / ഫിഷ് ചെയ്ത അക്രമി | അവശിഷ്ടം | ഉപയോക്താവിനെപ്പോലെ അവർക്ക് കമാൻഡുകൾ നൽകാൻ കഴിയും. ലഘൂകരണം: ട്രേ മെനുവിൽ നിന്ന് കോഡ് തിരിക്കുക. |
| റെക്കോർഡ് ചെയ്ത കമാൻഡിൻ്റെ റീപ്ലേ | അവശിഷ്ടം | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-മോഡ് ആധികാരികതയില്ലാത്ത ആക്രമണകാരി | ലഘൂകരിക്കപ്പെട്ടു | WebSocket ജോടി ഹാൻഡ്ഷേക്ക് കോഡ് സാധൂകരിക്കുന്നു; HMAC + AES ഗേറ്റ് ഓരോ തുടർന്നുള്ള കമാൻഡും. |
| മോഷ്ടിച്ച ജോടിയാക്കൽ കീ ഉള്ള കോംപ്രമൈസ് ചെയ്ത ഫോൺ | അവശിഷ്ടം | "ഉപയോക്താവിൽ നിന്ന്" വേർതിരിച്ചറിയാൻ കഴിയില്ല. ലഘൂകരണം: നിരക്ക് പരിധി (10 cmd/min) + വിനാശകരമായ-കമാൻഡ് സ്ഥിരീകരണത്തിന് PC-സൈഡ് ക്ലിക്ക് ആവശ്യമാണ്. |
| ഫോൺ ആപ്പിൽ നിന്ന് തെറ്റായി ടൈപ്പ് ചെയ്ത കമാൻഡ് | ലഘൂകരിക്കപ്പെട്ടു | ഫോൺ സൈഡ് അനുവദിക്കുന്ന ലിസ്റ്റ് തിരിച്ചറിയാത്ത പ്രിഫിക്സുകൾ തടയുന്നു; കമ്പാനിയൻ-സൈഡ് പ്രീ-ഫ്ലൈറ്റ് നിലവിലില്ലാത്ത സേവനങ്ങളെ ടാർഗെറ്റുചെയ്യുന്ന കമാൻഡുകൾ തടയുന്നു. |
| വിനാശകരമായ കമാൻഡ് ആകസ്മികമായി പ്രവർത്തിക്കുന്നു | ലഘൂകരിക്കപ്പെട്ടു | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Hung / runaway PowerShell പ്രക്രിയ | ലഘൂകരിക്കപ്പെട്ടു | ഹാർഡ് 5 മിനിറ്റ് ടൈംഔട്ട് മുഴുവൻ പ്രോസസ്സ് ട്രീയെയും നശിപ്പിക്കുന്നു. |
| Companion .exe ഡൗൺലോഡ് ചെയ്യുന്നതിനും പ്രവർത്തിപ്പിക്കുന്നതിനും ഇടയിൽ കൃത്രിമം കാണിക്കുന്നു | ലഘൂകരിക്കപ്പെട്ടു | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion ക്രാഷ് ലീക്കിംഗ് സെൻസിറ്റീവ് അവസ്ഥ | ലഘൂകരിക്കപ്പെട്ടു | ക്രാഷ് റിപ്പോർട്ടുകൾ + ഫയർസ്റ്റോർ പിശക് റൈറ്റ്ബാക്കുകൾ സാനിറ്റൈസ് ചെയ്യുന്നു %USERPROFILE% / %MACHINE% / %USER%. |
| മോഷ്ടിക്കപ്പെട്ട ഉപകരണം, രജിസ്ട്രി ജോടിയാക്കൽ കീ | അവശിഷ്ടം | ഡിസ്ക് + ലോഗിൻ ആക്സസ് ഉള്ള ഒരു ആക്രമണകാരിക്ക് തുടരുന്ന കോഡ് വായിക്കാൻ കഴിയും. ഭാവിയിലെ തിരുത്തൽ അതിനെ Windows DPAPI ഉപയോഗിച്ച് പൊതിയുന്നു. |
WindowsHelper വ്യക്തമായി ചെയ്യുന്ന കാര്യങ്ങൾ അല്ല പ്രതിരോധിക്കുക:
[security].