మీ PC + మీ ఫోన్ను WindowsHelper ఎలా రక్షిస్తుంది, మేము ఏ క్రిప్టోగ్రఫీని ఉపయోగిస్తాము మరియు దేనికి వ్యతిరేకంగా మేము స్పష్టంగా రక్షించలేము. చివరిగా అప్డేట్ చేయబడింది: 2026-04-25.
ఇమెయిల్ support@windowshelper.app విషయంతో [security]. దయచేసి పబ్లిక్ GitHub సమస్యలను తెరవవద్దు — బహిర్గతం చేయడానికి ముందు పరిష్కారాన్ని పంపడానికి మాకు విండోను అందించండి.
జత చేసే కోడ్ రహస్యాన్ని పంచుకున్నారు ప్రతి ఇతర క్రిప్టో ఆపరేషన్ నుండి ఉద్భవించింది. పూర్తి జీవితచక్రం:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; ఒకసారి జత చేసిన తర్వాత, కోడ్ ప్రత్యేకంగా మెమరీలో ఉంటుంది.వైర్ ద్వారా పంపబడిన ప్రతి ఆదేశం AES-256-GCMతో గుప్తీకరించబడింది, ఇది ప్రమాణీకరించబడిన-ఎన్క్రిప్షన్ మోడ్.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() ఫోన్ లేదా RandomNumberGenerator సహచరుడిపై.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>ప్రతి కమాండ్ కూడా HMAC సంతకాన్ని కలిగి ఉంటుంది కాబట్టి జత చేసే కోడ్ తెలియని ఫోన్ Firestoreకి వ్రాయగలిగినప్పటికీ ఆదేశాలను ఇంజెక్ట్ చేయదు.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). ఎన్క్రిప్షన్ కీ నుండి వేరు చేయండి.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). పైపులు అక్షరాలా పైపు అక్షరాలు, డీలిమిటర్లు కాదు - మూడు సంయోగ తీగలు.| బెదిరింపు | స్థితి | గమనికలు |
|---|---|---|
| స్థానిక నెట్వర్క్లో ఈవ్డ్రాపర్ | తగ్గించబడింది | AES-GCM సాంకేతికత MITM పరిశీలకులకు అపారదర్శకంగా ఉంటుంది. |
| ఫైర్స్టోర్ సర్వర్లపై ఈవ్డ్రాపర్ | తగ్గించబడింది | Google sees AESGCM:... blobs, not commands. |
| ఫైర్స్టోర్కి వ్రాయగలిగే దాడి చేసే వ్యక్తి కోడ్ తెలియదు | తగ్గించబడింది | HMAC ధృవీకరణ విఫలమైంది; సహచరుడు తిరస్కరణను లాగ్ చేస్తాడు + అమలును నిరాకరిస్తాడు. |
| జత చేసే కోడ్ను ఛేదించిన / ఫిష్ చేసిన దాడి చేసే వ్యక్తి | అవశేషం | వారు వినియోగదారు వలె ఆదేశాలను జారీ చేయవచ్చు. తగ్గించడం: ట్రే మెను నుండి కోడ్ని తిప్పండి. |
| రికార్డ్ చేయబడిన ఆదేశం యొక్క రీప్లే | అవశేషం | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-మోడ్ ప్రమాణీకరించబడని దాడి చేసే వ్యక్తి | తగ్గించబడింది | వెబ్సాకెట్ జత హ్యాండ్షేక్ కోడ్ని ధృవీకరిస్తుంది; HMAC + AES గేట్ ప్రతి తదుపరి కమాండ్. |
| దొంగిలించబడిన జత కీతో రాజీపడిన ఫోన్ | అవశేషం | "వినియోగదారు స్వయంగా" నుండి వేరు చేయలేము. తగ్గింపు: రేటు పరిమితి (10 cmd/min) + విధ్వంసక-కమాండ్ నిర్ధారణకు PC-వైపు క్లిక్ అవసరం. |
| ఫోన్ యాప్ నుండి కమాండ్ తప్పుగా టైప్ చేయబడింది | తగ్గించబడింది | ఫోన్ వైపు అనుమతి జాబితా గుర్తించబడని ప్రిఫిక్స్లను బ్లాక్ చేస్తుంది; కంపానియన్-సైడ్ ప్రీ-ఫ్లైట్ ఉనికిలో లేని సేవలను లక్ష్యంగా చేసుకుని ఆదేశాలను బ్లాక్ చేస్తుంది. |
| విధ్వంసక ఆదేశం అనుకోకుండా నడుస్తుంది | తగ్గించబడింది | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| హంగ్ / రన్అవే PowerShell ప్రక్రియ | తగ్గించబడింది | హార్డ్ 5 నిమిషాల సమయం ముగిసింది మొత్తం ప్రక్రియ చెట్టును చంపుతుంది. |
| Companion .exe డౌన్లోడ్ మరియు రన్ మధ్య ట్యాంపరింగ్ | తగ్గించబడింది | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion క్రాష్ లీకింగ్ సెన్సిటివ్ స్టేట్ | తగ్గించబడింది | క్రాష్ రిపోర్ట్లు + ఫైర్స్టోర్ ఎర్రర్ రైట్బ్యాక్లు శానిటైజ్ %USERPROFILE% / %MACHINE% / %USER%. |
| దొంగిలించబడిన పరికరం, రిజిస్ట్రీ జత చేసే కీ | అవశేషం | డిస్క్ + లాగిన్ యాక్సెస్తో దాడి చేసే వ్యక్తి నిరంతర కోడ్ను చదవగలడు. భవిష్యత్తు పరిష్కారము దీనిని Windows DPAPIతో చుట్టేస్తుంది. |
WindowsHelper స్పష్టంగా చేస్తుంది కాదు వ్యతిరేకంగా రక్షించండి:
[security].