ਕਿਵੇਂ WindowsHelper ਤੁਹਾਡੇ PC + ਤੁਹਾਡੇ ਫ਼ੋਨ ਦੀ ਰੱਖਿਆ ਕਰਦਾ ਹੈ, ਅਸੀਂ ਕਿਹੜੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫ਼ੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ, ਅਤੇ ਅਸੀਂ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਕਿਸ ਤੋਂ ਬਚਾਅ ਨਹੀਂ ਕਰਦੇ ਹਾਂ। ਆਖਰੀ ਵਾਰ ਅੱਪਡੇਟ ਕੀਤਾ: 25-04-2026।
ਈਮੇਲ support@windowshelper.app ਵਿਸ਼ੇ ਦੇ ਨਾਲ [security]. ਕਿਰਪਾ ਕਰਕੇ ਜਨਤਕ GitHub ਮੁੱਦਿਆਂ ਨੂੰ ਨਾ ਖੋਲ੍ਹੋ — ਸਾਨੂੰ ਖੁਲਾਸਾ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਫਿਕਸ ਭੇਜਣ ਲਈ ਇੱਕ ਵਿੰਡੋ ਦਿਓ।
ਪੇਅਰਿੰਗ ਕੋਡ ਹੈ ਗੁਪਤ ਸਾਂਝਾ ਕੀਤਾ ਹਰ ਦੂਜੇ ਕ੍ਰਿਪਟੋ ਓਪਰੇਸ਼ਨ ਤੋਂ ਪ੍ਰਾਪਤ ਹੁੰਦਾ ਹੈ। ਪੂਰਾ ਜੀਵਨ ਚੱਕਰ:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; ਇੱਕ ਵਾਰ ਜੋੜਾ ਬਣਾਉਣ 'ਤੇ, ਕੋਡ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਮੈਮੋਰੀ ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ।ਵਾਇਰ ਉੱਤੇ ਭੇਜੀ ਗਈ ਹਰ ਕਮਾਂਡ ਨੂੰ AES-256-GCM, ਇੱਕ ਪ੍ਰਮਾਣਿਤ-ਏਨਕ੍ਰਿਪਸ਼ਨ ਮੋਡ ਨਾਲ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ।
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() ਫੋਨ 'ਤੇ ਜਾਂ RandomNumberGenerator ਸਾਥੀ 'ਤੇ.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>ਹਰ ਕਮਾਂਡ ਵਿੱਚ ਇੱਕ HMAC ਦਸਤਖਤ ਵੀ ਹੁੰਦੇ ਹਨ ਇਸਲਈ ਇੱਕ ਫ਼ੋਨ ਜੋ ਜੋੜਾ ਕੋਡ ਨੂੰ ਨਹੀਂ ਜਾਣਦਾ ਹੈ ਉਹ ਕਮਾਂਡਾਂ ਨੂੰ ਇੰਜੈਕਟ ਨਹੀਂ ਕਰ ਸਕਦਾ ਭਾਵੇਂ ਇਹ ਫਾਇਰਸਟੋਰ ਨੂੰ ਲਿਖ ਸਕਦਾ ਹੈ।
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). ਇਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਤੋਂ ਵੱਖ ਕਰੋ।HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). ਪਾਈਪ ਸ਼ਾਬਦਿਕ ਪਾਈਪ ਅੱਖਰ ਹਨ, ਸੀਮਾਕਾਰ ਨਹੀਂ - ਤਿੰਨ ਜੋੜੀਆਂ ਗਈਆਂ ਤਾਰਾਂ।| ਧਮਕੀ | ਸਥਿਤੀ | ਨੋਟਸ |
|---|---|---|
| ਸਥਾਨਕ ਨੈੱਟਵਰਕ 'ਤੇ Eavesdropper | ਘਟਾਇਆ | AES-GCM ਸਿਫਰਟੈਕਸਟ MITM ਨਿਰੀਖਕਾਂ ਲਈ ਅਪਾਰਦਰਸ਼ੀ ਹੈ। |
| ਫਾਇਰਸਟੋਰ ਸਰਵਰਾਂ 'ਤੇ Eavesdropper | ਘਟਾਇਆ | Google sees AESGCM:... blobs, not commands. |
| ਹਮਲਾਵਰ ਜੋ ਫਾਇਰਸਟੋਰ ਨੂੰ ਲਿਖ ਸਕਦਾ ਹੈ ਪਰ ਕੋਡ ਨਹੀਂ ਜਾਣਦਾ | ਘਟਾਇਆ | HMAC ਤਸਦੀਕ ਅਸਫਲ; ਸਾਥੀ ਅਸਵੀਕਾਰ ਨੂੰ ਲੌਗ ਕਰਦਾ ਹੈ + ਚੱਲਣ ਤੋਂ ਇਨਕਾਰ ਕਰਦਾ ਹੈ। |
| ਹਮਲਾਵਰ ਜਿਸਨੇ ਪੇਅਰਿੰਗ ਕੋਡ ਨੂੰ ਕਰੈਕ / ਫਿਸ਼ ਕੀਤਾ | ਬਕਾਇਆ | ਉਹ ਹੁਕਮ ਜਾਰੀ ਕਰ ਸਕਦੇ ਹਨ ਜਿਵੇਂ ਕਿ ਉਹ ਉਪਭੋਗਤਾ ਸਨ। ਮਿਟੀਗੇਸ਼ਨ: ਟ੍ਰੇ ਮੀਨੂ ਤੋਂ ਕੋਡ ਨੂੰ ਘੁੰਮਾਓ। |
| ਇੱਕ ਰਿਕਾਰਡ ਕੀਤੀ ਕਮਾਂਡ ਨੂੰ ਰੀਪਲੇਅ ਕਰੋ | ਬਕਾਇਆ | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-ਮੋਡ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹਮਲਾਵਰ | ਘਟਾਇਆ | WebSocket ਜੋੜਾ ਹੈਂਡਸ਼ੇਕ ਕੋਡ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ; HMAC + AES ਗੇਟ ਹਰ ਅਗਲੀ ਕਮਾਂਡ। |
| ਚੋਰੀ ਕੀਤੀ ਜੋੜੀ ਕੁੰਜੀ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਫ਼ੋਨ | ਬਕਾਇਆ | "ਉਪਭੋਗਤਾ ਆਪਣੇ ਆਪ" ਤੋਂ ਵੱਖ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਮਿਟੀਗੇਸ਼ਨ: ਦਰ ਸੀਮਾ (10 cmd/min) + ਵਿਨਾਸ਼ਕਾਰੀ-ਕਮਾਂਡ ਪੁਸ਼ਟੀ ਲਈ PC-ਸਾਈਡ ਕਲਿੱਕ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। |
| ਫ਼ੋਨ ਐਪ ਤੋਂ ਗਲਤ ਟਾਈਪ ਕੀਤੀ ਕਮਾਂਡ | ਘਟਾਇਆ | ਫ਼ੋਨ-ਸਾਈਡ ਅਨੁਮਤੀ ਸੂਚੀ ਅਣਪਛਾਤੇ ਅਗੇਤਰਾਂ ਨੂੰ ਬਲਾਕ ਕਰਦੀ ਹੈ; ਸਾਥੀ-ਸਾਈਡ ਪ੍ਰੀ-ਫਲਾਈਟ ਬਲਾਕ ਕਮਾਂਡਾਂ ਜੋ ਮੌਜੂਦ ਨਹੀਂ ਹਨ ਸੇਵਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਹਨ। |
| ਵਿਨਾਸ਼ਕਾਰੀ ਕਮਾਂਡ ਅਚਾਨਕ ਚਲਦੀ ਹੈ | ਘਟਾਇਆ | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| ਹੰਗ/ਭਗੌੜਾ PowerShell ਪ੍ਰਕਿਰਿਆ | ਘਟਾਇਆ | ਸਖ਼ਤ 5-ਮਿੰਟ ਦਾ ਸਮਾਂ ਸਮਾਪਤੀ ਸਾਰੀ ਪ੍ਰਕਿਰਿਆ ਦੇ ਰੁੱਖ ਨੂੰ ਮਾਰ ਦਿੰਦੀ ਹੈ। |
| Companion .exe ਡਾਊਨਲੋਡ ਅਤੇ ਰਨ ਵਿਚਕਾਰ ਛੇੜਛਾੜ | ਘਟਾਇਆ | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion ਕਰੈਸ਼ ਲੀਕ ਸੰਵੇਦਨਸ਼ੀਲ ਸਥਿਤੀ | ਘਟਾਇਆ | ਕਰੈਸ਼ ਰਿਪੋਰਟਾਂ + ਫਾਇਰਸਟੋਰ ਐਰਰ ਰਾਈਟਬੈਕ ਸੈਨੀਟਾਈਜ਼ %USERPROFILE% / %MACHINE% / %USER%. |
| ਚੋਰੀ ਕੀਤੀ ਡਿਵਾਈਸ, ਲਗਾਤਾਰ ਰਜਿਸਟਰੀ ਜੋੜਾਕਰਨ ਕੁੰਜੀ | ਬਕਾਇਆ | ਡਿਸਕ + ਲੌਗਇਨ ਪਹੁੰਚ ਵਾਲਾ ਹਮਲਾਵਰ ਲਗਾਤਾਰ ਕੋਡ ਨੂੰ ਪੜ੍ਹ ਸਕਦਾ ਹੈ। ਭਵਿੱਖ ਫਿਕਸ ਇਸ ਨੂੰ Windows DPAPI ਨਾਲ ਲਪੇਟਦਾ ਹੈ। |
ਚੀਜ਼ਾਂ WindowsHelper ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਕਰਦੀਆਂ ਹਨ ਨਹੀਂ ਦੇ ਖਿਲਾਫ ਬਚਾਅ:
[security].