← തിരികെ WindowsHelper

സുരക്ഷാ മോഡൽ

എങ്ങനെ WindowsHelper നിങ്ങളുടെ PC + നിങ്ങളുടെ ഫോൺ പരിരക്ഷിക്കുന്നു, ഞങ്ങൾ ഉപയോഗിക്കുന്ന ക്രിപ്‌റ്റോഗ്രാഫി, കൂടാതെ ഞങ്ങൾ വ്യക്തമായി പ്രതിരോധിക്കാത്തവ എന്നിവ. അവസാനം അപ്ഡേറ്റ് ചെയ്തത്: 2026-04-25.

ഒരു ദുർബലത റിപ്പോർട്ട് ചെയ്യുന്നു

ഇമെയിൽ support@windowshelper.app വിഷയവുമായി [security]. ദയവായി പൊതു GitHub പ്രശ്നങ്ങൾ തുറക്കരുത് - വെളിപ്പെടുത്തുന്നതിന് മുമ്പ് ഒരു പരിഹാരം അയയ്ക്കാൻ ഞങ്ങൾക്ക് ഒരു വിൻഡോ നൽകുക.

ജോടിയാക്കൽ-കോഡ് ജീവിതചക്രം

ജോടിയാക്കൽ കോഡ് ആണ് രഹസ്യം പങ്കിട്ടു മറ്റെല്ലാ ക്രിപ്‌റ്റോ ഓപ്പറേഷനും ഉത്ഭവിക്കുന്നത്. മുഴുവൻ ജീവിതചക്രം:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

ക്രിപ്റ്റോഗ്രഫി

AES-256-GCM (കമാൻഡ് രഹസ്യാത്മകത + സമഗ്രത)

വയർ വഴി അയയ്‌ക്കുന്ന എല്ലാ കമാൻഡുകളും AES-256-GCM ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്‌തിരിക്കുന്നു, ഒരു ആധികാരിക-എൻക്രിപ്ഷൻ മോഡ്.

HMAC-SHA256 (കമാൻഡ് ആധികാരികത)

ഓരോ കമാൻഡും ഒരു HMAC സിഗ്നേച്ചറും വഹിക്കുന്നു, അതിനാൽ ജോടിയാക്കൽ കോഡ് അറിയാത്ത ഫോണിന് ഫയർസ്റ്റോറിലേക്ക് എഴുതാമെങ്കിലും കമാൻഡുകൾ കുത്തിവയ്ക്കാൻ കഴിയില്ല.

ഭീഷണി മോഡൽ

ഭീഷണിനിലകുറിപ്പുകൾ
പ്രാദേശിക ശൃംഖലയിൽ ഒളിഞ്ഞുനോട്ടക്കാരൻലഘൂകരിക്കപ്പെട്ടുMITM നിരീക്ഷകർക്ക് AES-GCM സൈഫർടെക്‌സ്‌റ്റ് അതാര്യമാണ്.
ഫയർസ്റ്റോർ സെർവറുകളിൽ കേൾക്കുന്നയാൾലഘൂകരിക്കപ്പെട്ടുGoogle sees AESGCM:... blobs, not commands.
ഫയർസ്റ്റോറിലേക്ക് എഴുതാൻ കഴിയുന്ന, എന്നാൽ കോഡ് അറിയാത്ത ആക്രമണകാരിലഘൂകരിക്കപ്പെട്ടുHMAC പരിശോധന പരാജയപ്പെട്ടു; കൂട്ടുകാരൻ നിരസിക്കൽ രേഖപ്പെടുത്തുന്നു + നിർവ്വഹണം നിരസിക്കുന്നു.
ജോടിയാക്കൽ കോഡ് തകർത്ത / ഫിഷ് ചെയ്ത അക്രമിഅവശിഷ്ടംഉപയോക്താവിനെപ്പോലെ അവർക്ക് കമാൻഡുകൾ നൽകാൻ കഴിയും. ലഘൂകരണം: ട്രേ മെനുവിൽ നിന്ന് കോഡ് തിരിക്കുക.
റെക്കോർഡ് ചെയ്‌ത കമാൻഡിൻ്റെ റീപ്ലേഅവശിഷ്ടംsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-മോഡ് ആധികാരികതയില്ലാത്ത ആക്രമണകാരിലഘൂകരിക്കപ്പെട്ടുWebSocket ജോടി ഹാൻഡ്‌ഷേക്ക് കോഡ് സാധൂകരിക്കുന്നു; HMAC + AES ഗേറ്റ് ഓരോ തുടർന്നുള്ള കമാൻഡും.
മോഷ്ടിച്ച ജോടിയാക്കൽ കീ ഉള്ള കോംപ്രമൈസ് ചെയ്ത ഫോൺഅവശിഷ്ടം"ഉപയോക്താവിൽ നിന്ന്" വേർതിരിച്ചറിയാൻ കഴിയില്ല. ലഘൂകരണം: നിരക്ക് പരിധി (10 cmd/min) + വിനാശകരമായ-കമാൻഡ് സ്ഥിരീകരണത്തിന് PC-സൈഡ് ക്ലിക്ക് ആവശ്യമാണ്.
ഫോൺ ആപ്പിൽ നിന്ന് തെറ്റായി ടൈപ്പ് ചെയ്ത കമാൻഡ്ലഘൂകരിക്കപ്പെട്ടുഫോൺ സൈഡ് അനുവദിക്കുന്ന ലിസ്റ്റ് തിരിച്ചറിയാത്ത പ്രിഫിക്സുകൾ തടയുന്നു; കമ്പാനിയൻ-സൈഡ് പ്രീ-ഫ്ലൈറ്റ് നിലവിലില്ലാത്ത സേവനങ്ങളെ ടാർഗെറ്റുചെയ്യുന്ന കമാൻഡുകൾ തടയുന്നു.
വിനാശകരമായ കമാൻഡ് ആകസ്മികമായി പ്രവർത്തിക്കുന്നുലഘൂകരിക്കപ്പെട്ടുCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Hung / runaway PowerShell പ്രക്രിയലഘൂകരിക്കപ്പെട്ടുഹാർഡ് 5 മിനിറ്റ് ടൈംഔട്ട് മുഴുവൻ പ്രോസസ്സ് ട്രീയെയും നശിപ്പിക്കുന്നു.
Companion .exe ഡൗൺലോഡ് ചെയ്യുന്നതിനും പ്രവർത്തിപ്പിക്കുന്നതിനും ഇടയിൽ കൃത്രിമം കാണിക്കുന്നുലഘൂകരിക്കപ്പെട്ടുSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion ക്രാഷ് ലീക്കിംഗ് സെൻസിറ്റീവ് അവസ്ഥലഘൂകരിക്കപ്പെട്ടുക്രാഷ് റിപ്പോർട്ടുകൾ + ഫയർസ്റ്റോർ പിശക് റൈറ്റ്ബാക്കുകൾ സാനിറ്റൈസ് ചെയ്യുന്നു %USERPROFILE% / %MACHINE% / %USER%.
മോഷ്ടിക്കപ്പെട്ട ഉപകരണം, രജിസ്ട്രി ജോടിയാക്കൽ കീഅവശിഷ്ടംഡിസ്ക് + ലോഗിൻ ആക്‌സസ് ഉള്ള ഒരു ആക്രമണകാരിക്ക് തുടരുന്ന കോഡ് വായിക്കാൻ കഴിയും. ഭാവിയിലെ തിരുത്തൽ അതിനെ Windows DPAPI ഉപയോഗിച്ച് പൊതിയുന്നു.

പരിധിക്ക് പുറത്താണ്

WindowsHelper വ്യക്തമായി ചെയ്യുന്ന കാര്യങ്ങൾ അല്ല പ്രതിരോധിക്കുക:

വെളിപ്പെടുത്തൽ