WindowsHelper तुमचा पीसी + तुमचा फोन कसा संरक्षित करतो, आम्ही कोणती क्रिप्टोग्राफी वापरतो आणि आम्ही कशापासून स्पष्टपणे संरक्षण करत नाही. शेवटचे अपडेट: 2026-04-25.
ईमेल support@windowshelper.app विषयासह [security]. कृपया सार्वजनिक GitHub समस्या उघडू नका — प्रकटीकरण करण्यापूर्वी आम्हाला निराकरण करण्यासाठी एक विंडो द्या.
पेअरिंग कोड आहे सामायिक रहस्य प्रत्येक इतर क्रिप्टो ऑपरेशन पासून प्राप्त होते. संपूर्ण जीवनचक्र:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; एकदा पेअर केल्यानंतर, कोड केवळ मेमरीमध्ये राहतो.वायरवर पाठवलेली प्रत्येक कमांड AES-256-GCM, प्रमाणीकृत-एनक्रिप्शन मोडसह कूटबद्ध केली जाते.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() फोनवर किंवा RandomNumberGenerator सहचर वर.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>प्रत्येक कमांडमध्ये HMAC स्वाक्षरी देखील असते त्यामुळे पेअरिंग कोड माहीत नसलेला फोन फायरस्टोअरला लिहू शकत असला तरीही तो कमांड इंजेक्ट करू शकत नाही.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). एनक्रिप्शन की पासून वेगळे करा.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). पाईप्स अक्षरशः पाईप वर्ण आहेत, सीमांकक नाहीत - तीन जोडलेल्या तार.| धमकी | स्थिती | नोट्स |
|---|---|---|
| स्थानिक नेटवर्कवर इव्हस्ड्रॉपर | शमन केले | AES-GCM सिफरटेक्स्ट MITM निरीक्षकांसाठी अपारदर्शक आहे. |
| फायरस्टोअर सर्व्हरवर इव्हस्ड्रॉपर | शमन केले | Google sees AESGCM:... blobs, not commands. |
| हल्लेखोर जो फायरस्टोअरला लिहू शकतो परंतु कोड माहित नाही | शमन केले | HMAC पडताळणी अयशस्वी; साथीदार नकार नोंदवतो + अंमलबजावणीला नकार देतो. |
| पेअरिंग कोड क्रॅक / फिश करणारा हल्लेखोर | अवशिष्ट | ते वापरकर्ता असल्याप्रमाणे कमांड जारी करू शकतात. शमन: ट्रे मेनूमधून कोड फिरवा. |
| रेकॉर्ड केलेल्या कमांडचे रिप्ले | अवशिष्ट | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-मोड अनधिकृत आक्रमणकर्ता | शमन केले | WebSocket जोडी हँडशेक कोड प्रमाणित करते; HMAC + AES गेट प्रत्येक पुढील आदेश. |
| चोरीच्या पेअरिंग कीसह तडजोड केलेला फोन | अवशिष्ट | "स्वतः वापरकर्ता" पासून वेगळे करता येण्यासारखे नाही. शमन: दर मर्यादा (10 cmd/min) + विनाशकारी-आदेश पुष्टीकरणासाठी PC-साइड क्लिक आवश्यक आहे. |
| फोन ॲपवरून चुकीची टाइप केलेली कमांड | शमन केले | फोन-साइड अनुमत सूची अपरिचित उपसर्ग अवरोधित करते; सहचर-साइड प्री-फ्लाइट ब्लॉक कमांड्स अस्तित्वात नसलेल्या सेवांना लक्ष्य करतात. |
| विनाशकारी आज्ञा चुकून चालते | शमन केले | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| हँग / रनअवे पॉवरशेल प्रक्रिया | शमन केले | कठीण 5-मिनिटांचा कालबाह्य संपूर्ण प्रक्रिया झाड नष्ट करतो. |
| Companion .exe डाउनलोड आणि रन दरम्यान छेडछाड | शमन केले | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion क्रॅश लीक संवेदनशील स्थिती | शमन केले | क्रॅश रिपोर्ट + फायरस्टोअर एरर रायटबॅक सॅनिटाइज %USERPROFILE% / %MACHINE% / %USER%. |
| चोरी केलेले डिव्हाइस, कायम ठेवलेली नोंदणी जोडणी की | अवशिष्ट | डिस्क + लॉगिन ऍक्सेस असलेला आक्रमणकर्ता कायम असलेला कोड वाचू शकतो. भविष्यातील निराकरण हे Windows DPAPI सह गुंडाळते. |
गोष्टी WindowsHelper स्पष्टपणे करते नाही विरुद्ध संरक्षण:
[security].