← ਵਾਪਸ WindowsHelper

ਸੁਰੱਖਿਆ ਮਾਡਲ

ਕਿਵੇਂ WindowsHelper ਤੁਹਾਡੇ PC + ਤੁਹਾਡੇ ਫ਼ੋਨ ਦੀ ਰੱਖਿਆ ਕਰਦਾ ਹੈ, ਅਸੀਂ ਕਿਹੜੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫ਼ੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ, ਅਤੇ ਅਸੀਂ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਕਿਸ ਤੋਂ ਬਚਾਅ ਨਹੀਂ ਕਰਦੇ ਹਾਂ। ਆਖਰੀ ਵਾਰ ਅੱਪਡੇਟ ਕੀਤਾ: 25-04-2026।

ਇੱਕ ਕਮਜ਼ੋਰੀ ਦੀ ਰਿਪੋਰਟ ਕਰਨਾ

ਈਮੇਲ support@windowshelper.app ਵਿਸ਼ੇ ਦੇ ਨਾਲ [security]. ਕਿਰਪਾ ਕਰਕੇ ਜਨਤਕ GitHub ਮੁੱਦਿਆਂ ਨੂੰ ਨਾ ਖੋਲ੍ਹੋ — ਸਾਨੂੰ ਖੁਲਾਸਾ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਫਿਕਸ ਭੇਜਣ ਲਈ ਇੱਕ ਵਿੰਡੋ ਦਿਓ।

ਪੇਅਰਿੰਗ-ਕੋਡ ਜੀਵਨ ਚੱਕਰ

ਪੇਅਰਿੰਗ ਕੋਡ ਹੈ ਗੁਪਤ ਸਾਂਝਾ ਕੀਤਾ ਹਰ ਦੂਜੇ ਕ੍ਰਿਪਟੋ ਓਪਰੇਸ਼ਨ ਤੋਂ ਪ੍ਰਾਪਤ ਹੁੰਦਾ ਹੈ। ਪੂਰਾ ਜੀਵਨ ਚੱਕਰ:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ

AES-256-GCM (ਕਮਾਂਡ ਗੁਪਤਤਾ + ਇਕਸਾਰਤਾ)

ਵਾਇਰ ਉੱਤੇ ਭੇਜੀ ਗਈ ਹਰ ਕਮਾਂਡ ਨੂੰ AES-256-GCM, ਇੱਕ ਪ੍ਰਮਾਣਿਤ-ਏਨਕ੍ਰਿਪਸ਼ਨ ਮੋਡ ਨਾਲ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ।

HMAC-SHA256 (ਕਮਾਂਡ ਪ੍ਰਮਾਣਿਕਤਾ)

ਹਰ ਕਮਾਂਡ ਵਿੱਚ ਇੱਕ HMAC ਦਸਤਖਤ ਵੀ ਹੁੰਦੇ ਹਨ ਇਸਲਈ ਇੱਕ ਫ਼ੋਨ ਜੋ ਜੋੜਾ ਕੋਡ ਨੂੰ ਨਹੀਂ ਜਾਣਦਾ ਹੈ ਉਹ ਕਮਾਂਡਾਂ ਨੂੰ ਇੰਜੈਕਟ ਨਹੀਂ ਕਰ ਸਕਦਾ ਭਾਵੇਂ ਇਹ ਫਾਇਰਸਟੋਰ ਨੂੰ ਲਿਖ ਸਕਦਾ ਹੈ।

ਧਮਕੀ ਮਾਡਲ

ਧਮਕੀਸਥਿਤੀਨੋਟਸ
ਸਥਾਨਕ ਨੈੱਟਵਰਕ 'ਤੇ EavesdropperਘਟਾਇਆAES-GCM ਸਿਫਰਟੈਕਸਟ MITM ਨਿਰੀਖਕਾਂ ਲਈ ਅਪਾਰਦਰਸ਼ੀ ਹੈ।
ਫਾਇਰਸਟੋਰ ਸਰਵਰਾਂ 'ਤੇ EavesdropperਘਟਾਇਆGoogle sees AESGCM:... blobs, not commands.
ਹਮਲਾਵਰ ਜੋ ਫਾਇਰਸਟੋਰ ਨੂੰ ਲਿਖ ਸਕਦਾ ਹੈ ਪਰ ਕੋਡ ਨਹੀਂ ਜਾਣਦਾਘਟਾਇਆHMAC ਤਸਦੀਕ ਅਸਫਲ; ਸਾਥੀ ਅਸਵੀਕਾਰ ਨੂੰ ਲੌਗ ਕਰਦਾ ਹੈ + ਚੱਲਣ ਤੋਂ ਇਨਕਾਰ ਕਰਦਾ ਹੈ।
ਹਮਲਾਵਰ ਜਿਸਨੇ ਪੇਅਰਿੰਗ ਕੋਡ ਨੂੰ ਕਰੈਕ / ਫਿਸ਼ ਕੀਤਾਬਕਾਇਆਉਹ ਹੁਕਮ ਜਾਰੀ ਕਰ ਸਕਦੇ ਹਨ ਜਿਵੇਂ ਕਿ ਉਹ ਉਪਭੋਗਤਾ ਸਨ। ਮਿਟੀਗੇਸ਼ਨ: ਟ੍ਰੇ ਮੀਨੂ ਤੋਂ ਕੋਡ ਨੂੰ ਘੁੰਮਾਓ।
ਇੱਕ ਰਿਕਾਰਡ ਕੀਤੀ ਕਮਾਂਡ ਨੂੰ ਰੀਪਲੇਅ ਕਰੋਬਕਾਇਆsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-ਮੋਡ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹਮਲਾਵਰਘਟਾਇਆWebSocket ਜੋੜਾ ਹੈਂਡਸ਼ੇਕ ਕੋਡ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ; HMAC + AES ਗੇਟ ਹਰ ਅਗਲੀ ਕਮਾਂਡ।
ਚੋਰੀ ਕੀਤੀ ਜੋੜੀ ਕੁੰਜੀ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਫ਼ੋਨਬਕਾਇਆ"ਉਪਭੋਗਤਾ ਆਪਣੇ ਆਪ" ਤੋਂ ਵੱਖ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਮਿਟੀਗੇਸ਼ਨ: ਦਰ ਸੀਮਾ (10 cmd/min) + ਵਿਨਾਸ਼ਕਾਰੀ-ਕਮਾਂਡ ਪੁਸ਼ਟੀ ਲਈ PC-ਸਾਈਡ ਕਲਿੱਕ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
ਫ਼ੋਨ ਐਪ ਤੋਂ ਗਲਤ ਟਾਈਪ ਕੀਤੀ ਕਮਾਂਡਘਟਾਇਆਫ਼ੋਨ-ਸਾਈਡ ਅਨੁਮਤੀ ਸੂਚੀ ਅਣਪਛਾਤੇ ਅਗੇਤਰਾਂ ਨੂੰ ਬਲਾਕ ਕਰਦੀ ਹੈ; ਸਾਥੀ-ਸਾਈਡ ਪ੍ਰੀ-ਫਲਾਈਟ ਬਲਾਕ ਕਮਾਂਡਾਂ ਜੋ ਮੌਜੂਦ ਨਹੀਂ ਹਨ ਸੇਵਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਹਨ।
ਵਿਨਾਸ਼ਕਾਰੀ ਕਮਾਂਡ ਅਚਾਨਕ ਚਲਦੀ ਹੈਘਟਾਇਆCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
ਹੰਗ/ਭਗੌੜਾ PowerShell ਪ੍ਰਕਿਰਿਆਘਟਾਇਆਸਖ਼ਤ 5-ਮਿੰਟ ਦਾ ਸਮਾਂ ਸਮਾਪਤੀ ਸਾਰੀ ਪ੍ਰਕਿਰਿਆ ਦੇ ਰੁੱਖ ਨੂੰ ਮਾਰ ਦਿੰਦੀ ਹੈ।
Companion .exe ਡਾਊਨਲੋਡ ਅਤੇ ਰਨ ਵਿਚਕਾਰ ਛੇੜਛਾੜਘਟਾਇਆSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion ਕਰੈਸ਼ ਲੀਕ ਸੰਵੇਦਨਸ਼ੀਲ ਸਥਿਤੀਘਟਾਇਆਕਰੈਸ਼ ਰਿਪੋਰਟਾਂ + ਫਾਇਰਸਟੋਰ ਐਰਰ ਰਾਈਟਬੈਕ ਸੈਨੀਟਾਈਜ਼ %USERPROFILE% / %MACHINE% / %USER%.
ਚੋਰੀ ਕੀਤੀ ਡਿਵਾਈਸ, ਲਗਾਤਾਰ ਰਜਿਸਟਰੀ ਜੋੜਾਕਰਨ ਕੁੰਜੀਬਕਾਇਆਡਿਸਕ + ਲੌਗਇਨ ਪਹੁੰਚ ਵਾਲਾ ਹਮਲਾਵਰ ਲਗਾਤਾਰ ਕੋਡ ਨੂੰ ਪੜ੍ਹ ਸਕਦਾ ਹੈ। ਭਵਿੱਖ ਫਿਕਸ ਇਸ ਨੂੰ Windows DPAPI ਨਾਲ ਲਪੇਟਦਾ ਹੈ।

ਦਾਇਰੇ ਤੋਂ ਬਾਹਰ

ਚੀਜ਼ਾਂ WindowsHelper ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਕਰਦੀਆਂ ਹਨ ਨਹੀਂ ਦੇ ਖਿਲਾਫ ਬਚਾਅ:

ਖੁਲਾਸਾ