← తిరిగి WindowsHelperకి

భద్రతా నమూనా

మీ PC + మీ ఫోన్‌ను WindowsHelper ఎలా రక్షిస్తుంది, మేము ఏ క్రిప్టోగ్రఫీని ఉపయోగిస్తాము మరియు దేనికి వ్యతిరేకంగా మేము స్పష్టంగా రక్షించలేము. చివరిగా అప్‌డేట్ చేయబడింది: 2026-04-25.

ఒక దుర్బలత్వాన్ని నివేదించడం

ఇమెయిల్ support@windowshelper.app విషయంతో [security]. దయచేసి పబ్లిక్ GitHub సమస్యలను తెరవవద్దు — బహిర్గతం చేయడానికి ముందు పరిష్కారాన్ని పంపడానికి మాకు విండోను అందించండి.

జత చేయడం-కోడ్ జీవితచక్రం

జత చేసే కోడ్ రహస్యాన్ని పంచుకున్నారు ప్రతి ఇతర క్రిప్టో ఆపరేషన్ నుండి ఉద్భవించింది. పూర్తి జీవితచక్రం:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

క్రిప్టోగ్రఫీ

AES-256-GCM (కమాండ్ గోప్యత + సమగ్రత)

వైర్ ద్వారా పంపబడిన ప్రతి ఆదేశం AES-256-GCMతో గుప్తీకరించబడింది, ఇది ప్రమాణీకరించబడిన-ఎన్‌క్రిప్షన్ మోడ్.

HMAC-SHA256 (కమాండ్ ప్రామాణికత)

ప్రతి కమాండ్ కూడా HMAC సంతకాన్ని కలిగి ఉంటుంది కాబట్టి జత చేసే కోడ్ తెలియని ఫోన్ Firestoreకి వ్రాయగలిగినప్పటికీ ఆదేశాలను ఇంజెక్ట్ చేయదు.

ముప్పు మోడల్

బెదిరింపుస్థితిగమనికలు
స్థానిక నెట్‌వర్క్‌లో ఈవ్‌డ్రాపర్తగ్గించబడిందిAES-GCM సాంకేతికత MITM పరిశీలకులకు అపారదర్శకంగా ఉంటుంది.
ఫైర్‌స్టోర్ సర్వర్‌లపై ఈవ్‌డ్రాపర్తగ్గించబడిందిGoogle sees AESGCM:... blobs, not commands.
ఫైర్‌స్టోర్‌కి వ్రాయగలిగే దాడి చేసే వ్యక్తి కోడ్ తెలియదుతగ్గించబడిందిHMAC ధృవీకరణ విఫలమైంది; సహచరుడు తిరస్కరణను లాగ్ చేస్తాడు + అమలును నిరాకరిస్తాడు.
జత చేసే కోడ్‌ను ఛేదించిన / ఫిష్ చేసిన దాడి చేసే వ్యక్తిఅవశేషంవారు వినియోగదారు వలె ఆదేశాలను జారీ చేయవచ్చు. తగ్గించడం: ట్రే మెను నుండి కోడ్‌ని తిప్పండి.
రికార్డ్ చేయబడిన ఆదేశం యొక్క రీప్లేఅవశేషంsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-మోడ్ ప్రమాణీకరించబడని దాడి చేసే వ్యక్తితగ్గించబడిందివెబ్‌సాకెట్ జత హ్యాండ్‌షేక్ కోడ్‌ని ధృవీకరిస్తుంది; HMAC + AES గేట్ ప్రతి తదుపరి కమాండ్.
దొంగిలించబడిన జత కీతో రాజీపడిన ఫోన్అవశేషం"వినియోగదారు స్వయంగా" నుండి వేరు చేయలేము. తగ్గింపు: రేటు పరిమితి (10 cmd/min) + విధ్వంసక-కమాండ్ నిర్ధారణకు PC-వైపు క్లిక్ అవసరం.
ఫోన్ యాప్ నుండి కమాండ్ తప్పుగా టైప్ చేయబడిందితగ్గించబడిందిఫోన్ వైపు అనుమతి జాబితా గుర్తించబడని ప్రిఫిక్స్‌లను బ్లాక్ చేస్తుంది; కంపానియన్-సైడ్ ప్రీ-ఫ్లైట్ ఉనికిలో లేని సేవలను లక్ష్యంగా చేసుకుని ఆదేశాలను బ్లాక్ చేస్తుంది.
విధ్వంసక ఆదేశం అనుకోకుండా నడుస్తుందితగ్గించబడిందిCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
హంగ్ / రన్అవే PowerShell ప్రక్రియతగ్గించబడిందిహార్డ్ 5 నిమిషాల సమయం ముగిసింది మొత్తం ప్రక్రియ చెట్టును చంపుతుంది.
Companion .exe డౌన్‌లోడ్ మరియు రన్ మధ్య ట్యాంపరింగ్తగ్గించబడిందిSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion క్రాష్ లీకింగ్ సెన్సిటివ్ స్టేట్తగ్గించబడిందిక్రాష్ రిపోర్ట్‌లు + ఫైర్‌స్టోర్ ఎర్రర్ రైట్‌బ్యాక్‌లు శానిటైజ్ %USERPROFILE% / %MACHINE% / %USER%.
దొంగిలించబడిన పరికరం, రిజిస్ట్రీ జత చేసే కీఅవశేషండిస్క్ + లాగిన్ యాక్సెస్‌తో దాడి చేసే వ్యక్తి నిరంతర కోడ్‌ను చదవగలడు. భవిష్యత్తు పరిష్కారము దీనిని Windows DPAPIతో చుట్టేస్తుంది.

పరిధి లేదు

WindowsHelper స్పష్టంగా చేస్తుంది కాదు వ్యతిరేకంగా రక్షించండి:

బహిర్గతం