← திரும்பவும் WindowsHelper

பாதுகாப்பு மாதிரி

உங்கள் பிசி + உங்கள் ஃபோனை WindowsHelper எப்படிப் பாதுகாக்கிறது, நாங்கள் என்ன கிரிப்டோகிராஃபியைப் பயன்படுத்துகிறோம், எதற்கு எதிராக நாங்கள் வெளிப்படையாகப் பாதுகாக்கவில்லை. கடைசியாக புதுப்பிக்கப்பட்டது: 2026-04-25.

ஒரு பாதிப்பைப் புகாரளிக்கிறது

மின்னஞ்சல் support@windowshelper.app பொருள் கொண்ட [security]. பொது GitHub சிக்கல்களைத் திறக்க வேண்டாம் - வெளிப்படுத்தும் முன் ஒரு தீர்வை அனுப்ப எங்களுக்கு ஒரு சாளரத்தை வழங்கவும்.

இணைத்தல்-குறியீடு வாழ்க்கைச் சுழற்சி

இணைத்தல் குறியீடு பகிரப்பட்ட ரகசியம் மற்ற ஒவ்வொரு கிரிப்டோ செயல்பாடும் பெறப்படுகிறது. முழு வாழ்க்கைச் சுழற்சி:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

குறியாக்கவியல்

AES-256-GCM (கட்டளை ரகசியத்தன்மை + ஒருமைப்பாடு)

கம்பியில் அனுப்பப்படும் ஒவ்வொரு கட்டளையும் AES-256-GCM, அங்கீகரிக்கப்பட்ட-குறியாக்க முறை மூலம் குறியாக்கம் செய்யப்பட்டுள்ளது.

HMAC-SHA256 (கட்டளை நம்பகத்தன்மை)

ஒவ்வொரு கட்டளையும் ஒரு HMAC கையொப்பத்தைக் கொண்டுள்ளது, எனவே இணைத்தல் குறியீடு தெரியாத தொலைபேசி, Firestore இல் எழுதினாலும் கட்டளைகளை செலுத்த முடியாது.

அச்சுறுத்தல் மாதிரி

அச்சுறுத்தல்நிலைகுறிப்புகள்
உள்ளூர் நெட்வொர்க்கில் கேட்பவர்தணிக்கப்பட்டதுAES-GCM சைபர் டெக்ஸ்ட் MITM பார்வையாளர்களுக்கு ஒளிபுகாது.
ஃபயர்ஸ்டோர் சேவையகங்களில் கேட்பவர்தணிக்கப்பட்டதுGoogle sees AESGCM:... blobs, not commands.
பயர்ஸ்டோருக்கு எழுதக்கூடிய, ஆனால் குறியீடு தெரியாத தாக்குபவர்தணிக்கப்பட்டதுHMAC சரிபார்ப்பு தோல்வியடைந்தது; துணை நிராகரிப்பை பதிவு செய்கிறது + செயல்படுத்த மறுக்கிறது.
இணைத்தல் குறியீட்டை சிதைத்த / ஃபிஷ் செய்த தாக்குபவர்எச்சம்அவர்கள் பயனரைப் போலவே கட்டளைகளை வழங்கலாம். தணிப்பு: தட்டு மெனுவிலிருந்து குறியீட்டை சுழற்றவும்.
பதிவு செய்யப்பட்ட கட்டளையை மீண்டும் இயக்குதல்எச்சம்sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
லேன் பயன்முறை அங்கீகரிக்கப்படாத தாக்குபவர்தணிக்கப்பட்டதுWebSocket ஜோடி ஹேண்ட்ஷேக் குறியீட்டை சரிபார்க்கிறது; ஒவ்வொரு அடுத்தடுத்த கட்டளைக்கும் HMAC + AES கேட்.
திருடப்பட்ட இணைத்தல் விசையுடன் சமரசம் செய்யப்பட்ட ஃபோன்எச்சம்"பயனர் அவர்களே" என்பதிலிருந்து பிரித்தறிய முடியாது. தணிப்பு: விகித வரம்பு (10 cmd/min) + அழிவு-கட்டளை உறுதிப்படுத்தல் PC பக்க கிளிக் தேவை.
ஃபோன் பயன்பாட்டிலிருந்து கட்டளை தவறாக உள்ளிடப்பட்டதுதணிக்கப்பட்டதுஃபோன் பக்க அனுமதி பட்டியல் அங்கீகரிக்கப்படாத முன்னொட்டுகளைத் தடுக்கிறது; துணை-பக்க முன் விமானம் இல்லாத சேவைகளை இலக்காகக் கொண்டு கட்டளைகளைத் தடுக்கிறது.
அழிவு கட்டளை தற்செயலாக இயங்கும்தணிக்கப்பட்டதுCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Hung / Runway PowerShell செயல்முறைதணிக்கப்பட்டதுகடினமான 5 நிமிட காலக்கெடு முழு செயல்முறை மரத்தையும் அழிக்கிறது.
Companion .exe டவுன்லோட் மற்றும் ரன் இடையே டேம்பரிங்தணிக்கப்பட்டதுSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion செயலிழப்பு கசிவு உணர்திறன் நிலைதணிக்கப்பட்டதுசெயலிழப்பு அறிக்கைகள் + ஃபயர்ஸ்டோர் பிழை ரைட்பேக்குகள் சுத்திகரிக்கப்படுகின்றன %USERPROFILE% / %MACHINE% / %USER%.
திருடப்பட்ட சாதனம், பதிவேட்டில் இணைத்தல் விசை தொடர்ந்ததுஎச்சம்வட்டு + உள்நுழைவு அணுகலைக் கொண்ட ஒரு தாக்குபவர் தொடர்ந்து இருக்கும் குறியீட்டைப் படிக்க முடியும். எதிர்கால சரிசெய்தல் அதை Windows DPAPI உடன் மூடுகிறது.

நோக்கம் இல்லை

WindowsHelper வெளிப்படையாகச் செய்யும் விஷயங்கள் இல்லை எதிராக பாதுகாக்க:

வெளிப்படுத்தல்