← واپس WindowsHelper پر

سیکیورٹی ماڈل

WindowsHelper آپ کے PC + آپ کے فون کی حفاظت کیسے کرتا ہے، ہم کون سی خفیہ نگاری استعمال کرتے ہیں، اور ہم واضح طور پر کس چیز کا دفاع نہیں کرتے ہیں۔ آخری بار اپ ڈیٹ کیا گیا: 25-04-2026۔

خطرے کی اطلاع دینا

ای میل support@windowshelper.app موضوع کے ساتھ [security]. براہ کرم GitHub کے عوامی مسائل کو نہ کھولیں — انکشاف سے پہلے ہمیں ایک ونڈو فراہم کریں تاکہ اسے درست کیا جا سکے۔

پیئرنگ کوڈ لائف سائیکل

جوڑا بنانے کا کوڈ ہے۔ مشترکہ راز ہر دوسرے کرپٹو آپریشن سے حاصل ہوتا ہے۔ مکمل لائف سائیکل:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

خفیہ نگاری

AES-256-GCM (کمانڈ کی رازداری + سالمیت)

تار پر بھیجی گئی ہر کمانڈ کو AES-256-GCM کے ساتھ انکرپٹ کیا جاتا ہے، ایک تصدیق شدہ-انکرپشن موڈ۔

HMAC-SHA256 (کمانڈ کی صداقت)

ہر کمانڈ میں ایک HMAC دستخط بھی ہوتا ہے لہذا ایسا فون جو جوڑا بنانے کے کوڈ کو نہیں جانتا ہے وہ کمانڈز نہیں لگا سکتا چاہے وہ Firestore کو لکھ سکتا ہو۔

خطرہ ماڈل

دھمکیحیثیتنوٹس
مقامی نیٹ ورک پر چھپنے والاتخفیفAES-GCM سائفر ٹیکسٹ MITM مبصرین کے لیے مبہم ہے۔
Firestore سرورز پر EavesdropperتخفیفGoogle sees AESGCM:... blobs, not commands.
حملہ آور جو Firestore کو لکھ سکتا ہے لیکن کوڈ نہیں جانتاتخفیفHMAC کی تصدیق ناکام ساتھی مسترد کو لاگ کرتا ہے + عملدرآمد سے انکار کرتا ہے۔
حملہ آور جس نے جوڑا بنانے کے کوڈ کو کریک / فش کیا۔بقایاوہ اس طرح کمانڈ جاری کر سکتے ہیں جیسے وہ صارف ہوں۔ تخفیف: ٹرے مینو سے کوڈ کو گھمائیں۔
ریکارڈ شدہ کمانڈ کا ری پلےبقایاsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN موڈ غیر مستند حملہ آورتخفیفWebSocket پیئر ہینڈ شیک کوڈ کی توثیق کرتا ہے۔ HMAC + AES گیٹ ہر بعد کی کمانڈ۔
چوری شدہ جوڑی کلید کے ساتھ سمجھوتہ شدہ فونبقایا"خود صارف" سے الگ نہیں کیا جا سکتا۔ تخفیف: شرح کی حد (10 cmd/min) + تباہ کن کمانڈ کی تصدیق کے لیے PC-سائیڈ کلک کی ضرورت ہے۔
فون ایپ سے غلط ٹائپ کردہ کمانڈتخفیففون کی طرف اجازت دینے والی فہرست غیر تسلیم شدہ سابقوں کو روکتی ہے۔ ساتھی سائیڈ پری فلائٹ بلاکس کمانڈز جو غیر موجود خدمات کو نشانہ بناتے ہیں۔
تباہ کن کمانڈ حادثاتی طور پر چلتی ہے۔تخفیفCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
لٹکا ہوا / بھگوڑا پاور شیل عملتخفیفمشکل 5 منٹ کا ٹائم آؤٹ پورے عمل کے درخت کو ختم کر دیتا ہے۔
Companion .exe ڈاؤن لوڈ اور رن کے درمیان چھیڑ چھاڑتخفیفSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion کریش لیک ہونے والی حساس حالتتخفیفکریش رپورٹس + فائر اسٹور کی خرابی رائٹ بیکس سینیٹائز %USERPROFILE% / %MACHINE% / %USER%.
چوری شدہ آلہ، مستقل رجسٹری جوڑی کی کلیدبقایاڈسک + لاگ ان رسائی والا حملہ آور مستقل کوڈ پڑھ سکتا ہے۔ مستقبل کی اصلاح اسے Windows DPAPI کے ساتھ لپیٹ دیتی ہے۔

دائرہ سے باہر

چیزیں WindowsHelper واضح طور پر کرتی ہیں۔ نہیں کے خلاف دفاع:

انکشاف