உங்கள் பிசி + உங்கள் ஃபோனை WindowsHelper எப்படிப் பாதுகாக்கிறது, நாங்கள் என்ன கிரிப்டோகிராஃபியைப் பயன்படுத்துகிறோம், எதற்கு எதிராக நாங்கள் வெளிப்படையாகப் பாதுகாக்கவில்லை. கடைசியாக புதுப்பிக்கப்பட்டது: 2026-04-25.
மின்னஞ்சல் support@windowshelper.app பொருள் கொண்ட [security]. பொது GitHub சிக்கல்களைத் திறக்க வேண்டாம் - வெளிப்படுத்தும் முன் ஒரு தீர்வை அனுப்ப எங்களுக்கு ஒரு சாளரத்தை வழங்கவும்.
இணைத்தல் குறியீடு பகிரப்பட்ட ரகசியம் மற்ற ஒவ்வொரு கிரிப்டோ செயல்பாடும் பெறப்படுகிறது. முழு வாழ்க்கைச் சுழற்சி:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; ஒருமுறை இணைக்கப்பட்டால், குறியீடு நினைவகத்தில் பிரத்தியேகமாக இருக்கும்.கம்பியில் அனுப்பப்படும் ஒவ்வொரு கட்டளையும் AES-256-GCM, அங்கீகரிக்கப்பட்ட-குறியாக்க முறை மூலம் குறியாக்கம் செய்யப்பட்டுள்ளது.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() தொலைபேசியில் அல்லது RandomNumberGenerator துணை மீது.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>ஒவ்வொரு கட்டளையும் ஒரு HMAC கையொப்பத்தைக் கொண்டுள்ளது, எனவே இணைத்தல் குறியீடு தெரியாத தொலைபேசி, Firestore இல் எழுதினாலும் கட்டளைகளை செலுத்த முடியாது.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). குறியாக்க விசையிலிருந்து பிரிக்கவும்.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). குழாய்கள் என்பது பைப் எழுத்துக்கள், டிலிமிட்டர்கள் அல்ல - மூன்று இணைந்த சரங்கள்.| அச்சுறுத்தல் | நிலை | குறிப்புகள் |
|---|---|---|
| உள்ளூர் நெட்வொர்க்கில் கேட்பவர் | தணிக்கப்பட்டது | AES-GCM சைபர் டெக்ஸ்ட் MITM பார்வையாளர்களுக்கு ஒளிபுகாது. |
| ஃபயர்ஸ்டோர் சேவையகங்களில் கேட்பவர் | தணிக்கப்பட்டது | Google sees AESGCM:... blobs, not commands. |
| பயர்ஸ்டோருக்கு எழுதக்கூடிய, ஆனால் குறியீடு தெரியாத தாக்குபவர் | தணிக்கப்பட்டது | HMAC சரிபார்ப்பு தோல்வியடைந்தது; துணை நிராகரிப்பை பதிவு செய்கிறது + செயல்படுத்த மறுக்கிறது. |
| இணைத்தல் குறியீட்டை சிதைத்த / ஃபிஷ் செய்த தாக்குபவர் | எச்சம் | அவர்கள் பயனரைப் போலவே கட்டளைகளை வழங்கலாம். தணிப்பு: தட்டு மெனுவிலிருந்து குறியீட்டை சுழற்றவும். |
| பதிவு செய்யப்பட்ட கட்டளையை மீண்டும் இயக்குதல் | எச்சம் | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| லேன் பயன்முறை அங்கீகரிக்கப்படாத தாக்குபவர் | தணிக்கப்பட்டது | WebSocket ஜோடி ஹேண்ட்ஷேக் குறியீட்டை சரிபார்க்கிறது; ஒவ்வொரு அடுத்தடுத்த கட்டளைக்கும் HMAC + AES கேட். |
| திருடப்பட்ட இணைத்தல் விசையுடன் சமரசம் செய்யப்பட்ட ஃபோன் | எச்சம் | "பயனர் அவர்களே" என்பதிலிருந்து பிரித்தறிய முடியாது. தணிப்பு: விகித வரம்பு (10 cmd/min) + அழிவு-கட்டளை உறுதிப்படுத்தல் PC பக்க கிளிக் தேவை. |
| ஃபோன் பயன்பாட்டிலிருந்து கட்டளை தவறாக உள்ளிடப்பட்டது | தணிக்கப்பட்டது | ஃபோன் பக்க அனுமதி பட்டியல் அங்கீகரிக்கப்படாத முன்னொட்டுகளைத் தடுக்கிறது; துணை-பக்க முன் விமானம் இல்லாத சேவைகளை இலக்காகக் கொண்டு கட்டளைகளைத் தடுக்கிறது. |
| அழிவு கட்டளை தற்செயலாக இயங்கும் | தணிக்கப்பட்டது | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Hung / Runway PowerShell செயல்முறை | தணிக்கப்பட்டது | கடினமான 5 நிமிட காலக்கெடு முழு செயல்முறை மரத்தையும் அழிக்கிறது. |
| Companion .exe டவுன்லோட் மற்றும் ரன் இடையே டேம்பரிங் | தணிக்கப்பட்டது | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion செயலிழப்பு கசிவு உணர்திறன் நிலை | தணிக்கப்பட்டது | செயலிழப்பு அறிக்கைகள் + ஃபயர்ஸ்டோர் பிழை ரைட்பேக்குகள் சுத்திகரிக்கப்படுகின்றன %USERPROFILE% / %MACHINE% / %USER%. |
| திருடப்பட்ட சாதனம், பதிவேட்டில் இணைத்தல் விசை தொடர்ந்தது | எச்சம் | வட்டு + உள்நுழைவு அணுகலைக் கொண்ட ஒரு தாக்குபவர் தொடர்ந்து இருக்கும் குறியீட்டைப் படிக்க முடியும். எதிர்கால சரிசெய்தல் அதை Windows DPAPI உடன் மூடுகிறது. |
WindowsHelper வெளிப்படையாகச் செய்யும் விஷயங்கள் இல்லை எதிராக பாதுகாக்க:
[security].