Zum Inhalt springen

Whatsapp Alternativen


BaziLuder

Empfohlene Beiträge

Bisher habe ich mich wacker gegen Messenger Apps auf meinem Smartphone widersetzt, weil mir der Datenklau zu massiv ist aber nun möchte ich doch damit starten, weil ich mich teilweise beuge.:rotwerd:

Whatsapp kommt mir aber nicht ins Haus(Smartphone) und nach einem Messenger-Test aus der c´t im Heft 3 / 2017 bin ich nun zwei Jahre später bereit für Signal.

Mein Problem ist jetzt, dass ich die App-Datei (Signal.apk) nicht vom Google-Play-Server ziehen kann, weil ich kein Google-Account habe.

Ich werde aber auch kein Account dort anlegen, weil ich mittlerweile mit F-Droid einen App-Server gefunden habe der mehr oder weniger "Google-Facebook-Whatsapp-saubere" App´s anbietet. Auch aus der c´t Heft 25/2018 Android-Apps ohne Google.

 

Aber ich schweife ab, kurzum ich such eine vertrauenswürdige Quelle für die Signal.apk die nicht vom G-Playstore kommt.

Mein einziger Treffer bisher war www.netzpolitik.org aber ich weiß nicht ob man dem Server trauen kann.:???:

www.signal.org selber hat sich in den G-Playstort verlinkt.:wallbash:

 

Kann mir jemand helfen...

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 28 Minuten schrieb thisnotes4u:

Ich (ebenfalls Whatsapp-Verweigerer) hab da eine Verständnisfrage : was bringt ein anderer Messenger, wenn der Freundeskreis mit WhatsApp kommuniziert? :dontgetit:

...dann bin ich über die Adressbücher der Kumpels (und auch aus der Familie) ja bereits bekannt bzw. Big Brother weiß wer mich kennt und anders rum.

Aber jedes Byte was ich verschleiern kann werde ich verschleiern, ich muss ja Google, Facebook, Whatsapp, Amazon und Co. nicht alle Daten hinterher schmeißen.

Mag sein dass sie bereits viel über mich wissen aber definitiv weniger als bei denen die den ganzen Scheiß nutzen.

Und nun zurück zur Frage:

An der Stelle kann ich nur auf den c`t Bericht verweisen, in dem steht warum z.B. Signal die bessere Alternative zu Whatsapp ist.

 

Edith meint ich hab erst jetzt Deine Frage richtig kapiert:

In meinem Fall haben sich zwei Gruppen von Freunden von mir, sich mit mir auf Signal geeinigt (nachdem sie sich jahrelang an mir die Zähne mit Whattsapp ausgebissen haben:-D, kurzum ich hab sie dazu gebracht sich zu bewegen:cool:) und das reicht mir.

Ich will ja nicht mit Gott und der Welt messengen, sondern nur mit ca. 15 Leuten die auch im echten Leben Freunde von mir sind.;-)

Deswegen brauch ich keine Massenkompatibilität "meines" Messengers.

Bearbeitet von BaziLuder
  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Minuten schrieb frankfree:

Kannst du hier runterladen.

http://downloadapk.net/down_TextSecure-Private-Messenger.html

 

Ich bin kein Roboter Haken setzen und dann download apk anklicken.

Nicht rechts auf den Download Button klicken!

 

:cheers:

In Deinem Fall weiß ich dass Du kein Roboter bist, bin Dir hier ja schon oft über den Weg gelaufen (und leider kenne ich Dich nicht um jetzt einen vom Stapel zu lassen aufgrund der Steilvorlage ;-))

 

Ist die Quelle vertrauenswürdig?

 

Achtung ich bin Laie aber wenn der Signal-Messenger "Open-Source" ist, könnte dann nicht jemand die offizielle apk downloaden, manipulieren und sie dann wieder an anderer Stelle zum Download anbieten?

Wer versiert ist könnte doch auf diesem Weg eine für seinen Mißbrauch manipulierte apk in die Welt setzen oder läuft das so nicht?

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Minute schrieb BaziLuder:

wenn der Signal-Messenger "Open-Source" ist, könnte dann nicht jemand die offizielle apk downloaden, manipulieren und sie dann wieder an anderer Stelle zum Download anbieten?

Wer versiert ist könnte doch auf diesem Weg eine für seinen Mißbrauch manipulierte apk in die Welt setzen oder läuft das so nicht?

 

Ja, das geht (idealerweise mit einem eigenen Kompilat). Wenn man sensibel ist, sollte man die Downloads mit dem MD5 Prüfsummen mit den vom Anbieter auf der Website zur Verfügung gestellten gegenprüfen. Stichwort "MD5 Hash".

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Minute schrieb sähkö:

 

Ja, das geht (idealerweise mit einem eigenen Kompilat). Wenn man sensibel ist, sollte man die Downloads mit dem MD5 Prüfsummen mit den vom Anbieter auf der Website zur Verfügung gestellten gegenprüfen. Stichwort "MD5 Hash".

Alter bist Du wahnsinnig, was verlangst Du von mir.....:baaa::laugh::laugh:

Ne Spaß beiseite, ich bin kein Crack, wie mach ich dass, hab grad bei Signal in die Support-Suche "MD5 Hash" eingegeben und keinen Treffer gehabt.

Ich möchte das aber können, was Du da geschrieben hast, kannst Du mir da helfen wie man das auf beiden Seiten, Hersteller / Anbieter, recherchiert?

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Minuten schrieb BaziLuder:

In Deinem Fall weiß ich dass Du kein Roboter bist, bin Dir hier ja schon oft über den Weg gelaufen (und leider kenne ich Dich nicht um jetzt einen vom Stapel zu lassen aufgrund der Steilvorlage ;-))

 

Ist die Quelle vertrauenswürdig?

 

Achtung ich bin Laie aber wenn der Signal-Messenger "Open-Source" ist, könnte dann nicht jemand die offizielle apk downloaden, manipulieren und sie dann wieder an anderer Stelle zum Download anbieten?

Wer versiert ist könnte doch auf diesem Weg eine für seinen Mißbrauch manipulierte apk in die Welt setzen oder läuft das so nicht?

 

Sorry, wollte nur helfen.:wacko:

Ob die Quelle vertrauenswürdig ist, kann dir wohl niemand beantworten, zumindest nicht zu 100%.

Du musst in Android dazu ja sowieso erst den Haken setzen, das du von einer nicht vertrauenswürdigen Quelle installieren willst.:-D

 

Wenn du so paranoid bist, dann hilft wohl nur das Internet erst gar nicht zu nutzen!

 

Bezüglich der "Steilvorlage" kannst du dich ruhig austoben, auch wenn wir uns nicht kennen.:muah:

 

Ansonsten kannst du auch einen deiner Bekannten fragen, ob sie dir die App klonen können. Dann bist du einigermaßen sicher.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 13 Minuten schrieb BaziLuder:

kannst Du mir da helfen wie man das auf beiden Seiten, Hersteller / Anbieter, recherchiert?

 

Welches OS? Ich vermute mal Windows, dann sollte dir das weiterhelfen. Unter Linux oder OS X, das Terminal starten und ’man md5’ eingeben, damit kannst du das Handbuch zum Kommandozeilen-Programm md5 lesen. Suchmaschinen helfen mit ’calculate md5 hash’ weiter, der Wikipedia Eintrag ist IMHO lesenswert. 

 

Wenn man sich irgendwo einen sog. tar-ball bzw. die Quellen/Sources eines Softwareprojekts (wie z.B. in einem sog. Repository wie GitHub) runterladen kann, bekommt man dazu die MD5 hashes (Prüfsumme) entweder als separate Datei oder in der Projektbeschreibung zu lesen. Damit verifizierst du, dass der Ordner in deinen Downloads nicht von Dritten kompromittiert wurde (oder vom Download an sich beschädigt ist). Bei jedem OpenSource Projekt gibt's die MD5 hashes in der Übersicht zu finden. Im Terminal eingeben:

md5 /Pfad/zu/deiner/Datei.tar

Antwort von md5 zu deinem Befehl, so in der Art:

MD5 (Pfad/zu/deiner/Datei.tar) = ae55e2d46867e79fea73318a6eadf229irgendwas

Das vergleichst du mit dem, was auf der Website steht. Übereinstimmung? Cool, alles nach Plan gelaufen.

 

Du könntest, sofern diese App wirklich OpenSource ist, die Sources selber kompilieren. Das setzt aber eine ziemlich vollständige Entwicklungsumgebung voraus, die alle Dependencies (Nebensoftware, die für den build erforderlich ist) bereits lauffähig vorhält. Ich kann das wirklich nicht empfehlen, ausser, du hast wirklich schwer Bock, dich in so was reinzukniehen. "You are entering a world of pain …" ohne Garantie auf Erfolg, vor allem, wenn du keine Package Manager einsetzt.

Bearbeitet von sähkö
Nachtrag
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 9 Minuten schrieb frankfree:

 

Sorry, wollte nur helfen.:wacko:

=> Wieso Sorry und :wacko: ? Ich bin doch dankbar für Deine Hilfe. :thumbsup:

 

Wenn du so paranoid bist, dann hilft wohl nur das Internet erst gar nicht zu nutzen!

=> Das eine schließt das andere doch nicht aus, aber ich scheine wirklich strange Vorstellungen zu haben was Internet, Mobilfunk, Big Brother und Datensicherheit angeht.

Ich bin es gewohnt mit meinen Ansichten nicht verstanden zu werden, kein Prob. ;-)

 

Ansonsten kannst du auch einen deiner Bekannten fragen, ob sie dir die App klonen können. Dann bist du einigermaßen sicher.:thumbsup:

 

Bearbeitet von BaziLuder
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Minuten schrieb sähkö:

 

Welches OS? Ich vermute mal Windows, RICHTIG :thumbsup:dann sollte dir das weiterhelfen. Unter Linux oder OS X, das Terminal starten und ’man md5’ eingeben, damit kannst du das Handbuch zum Kommandozeilen-Programm md5 lesen. Suchmaschinen helfen mit ’calculate md5 hash’ weiter, der Wikipedia Eintrag ist IMHO lesenswert. 

 

Wenn man sich irgendwo einen sog. tar-ball bzw. die Quellen/Sources eines Softwareprojekts (wie z.B. in einem sog. Repository wie GitHub) runterladen kann, bekommt man dazu die MD5 hashes (Prüfsumme) entweder als separate Datei oder in der Projektbeschreibung zu lesen. Damit verifizierst du, dass der Ordner in deinen Downloads nicht von Dritten kompromittiert wurde (oder vom Download an sich beschädigt ist). Bei jedem OpenSource Projekt gibt's die MD5 hashes in der Übersicht zu finden. Im Terminal eingeben:

md5 /Pfad/zu/deiner/Datei.tar

Antwort von md5 zu deinem Befehl, so in der Art:

MD5 (Pfad/zu/deiner/Datei.tar) = ae55e2d46867e79fea73318a6eadf229irgendwas

Das vergleichst du mit dem, was auf der Website steht. Übereinstimmung? Cool, alles nach Plan gelaufen.

Danke, ich werd das mal versuchen zu verstehen und mal probieren ob ich das hin kriege, bin nämlich kein Programmierer oä.

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Minuten schrieb BaziLuder:

Danke, ich werd das mal versuchen zu verstehen und mal probieren ob ich das hin kriege

 

Ich bin kein dedizierter Windows-Anwender und nutze keine Android, aber sag gerne via PN Bescheid, wenn's klemmt (z.B. bei Fragen zu Datensicherheit).

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Minuten schrieb frankfree:

Hättest du auch mal schreiben können,dass das für Windows sein soll.

 

https://www.chip.de/downloads/Signal-Messenger-fuer-Windows_126605558.html

Bei Chip sind die Dateien immer überprüft.

 

Du musst aber trotzdem die Anroid App installiert haben, da du ja mit deiner Mobilfunknummer arbeitest.;-)

Moment, ich glaub hier entsteht gerade ein Mißverständnis.

Das mit dem Betriebssystem bezieht sich auf meinen PC, an dem ich vielleicht in Zukunft einmal in der Lage sein werde diese Hash-Werte zu vergleichen bevor ich dann in Folge an meinem Smartphone (Android) die (zuvor via PC überprüfte) apk installiere.

An der Stelle zwei Beispiele aus der jüngeren Vergangenheit:

Ich hab mir von nem Kumpel ne App per SMS als apk schicken lassen, die ich dann am Smartphone installiert habe.

Bei F-Droid habe ich mir kürzlich (ohne Prüfung) die apk via PC von deren Homepage gezogen und sie mir dann per mail auf´s Smartphone geschickt um sie dort dann zu installieren.

Ich stelle mir das in Zukunft so vor, dass ich, sofern ich die apk nicht auf der originalen Anbieterseite bekomme, das von sähkö angesprochene Procedere an meinem PC ausführe und mir die apk dann nach erfolgreicher Prüfung auf´s Smartphone maile oder via Kabel rüberschubse. (ich hoffe ich schaff das :rotwerd:)

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Minuten schrieb BaziLuder:

Moment, ich glaub hier entsteht gerade ein Mißverständnis.

Das mit dem Betriebssystem bezieht sich auf meinen PC, an dem ich vielleicht in Zukunft einmal in der Lage sein werde diese Hash-Werte zu vergleichen bevor ich dann in Folge an meinem Smartphone (Android) die (zuvor via PC überprüfte) apk installiere.

An der Stelle zwei Beispiele aus der jüngeren Vergangenheit:

Ich hab mir von nem Kumpel ne App per SMS als apk schicken lassen, die ich dann am Smartphone installiert habe.

Bei F-Droid habe ich mir kürzlich (ohne Prüfung) die apk via PC von deren Homepage gezogen und sie mir dann per mail auf´s Smartphone geschickt um sie dort dann zu installieren.

Ich stelle mir das in Zukunft so vor, dass ich, sofern ich die apk nicht auf der originalen Anbieterseite bekomme, das von sähkö angesprochene Procedere an meinem PC ausführe und mir die apk dann nach erfolgreicher Prüfung auf´s Smartphone maile oder via Kabel rüberschubse. (ich hoffe ich schaff das :rotwerd:)

 

 

Das kannst du gerne so machen, es ändert aber nichts an der Tatsache, das du die App auf beiden Plattformen (OS) installieren musst damit das unter Windows als Desktopapp funktioniert.

 

vor 4 Minuten schrieb BaziLuder:

...wenn ich bei dem Link zu Android wechsel, lande ich wieder bei Google Play.

 

Das ist klar. Deswegen habe ich dir für Android den anderen Link gepostet. Da Chip auch sehr auf Datensicherheit achtet, nehmen die für Android, wenn möglich immer den sichersten Link. Und das ist nunmal der Google Play Store.

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Kann mir mal einer erklären, warum ich auf netzpolitik.org einen Link zur apk bei Signal finde, während ich, wenn ich auf Signal.org auf den Android-Button klicke zum Google Play Store umgeleitet werde? :wacko:

 

@sähkö:

Ich glaub ich bin auf der richtigen Spur, HIER ist schon mal ein HASH zu lesen und das auf der Ersteller-Seite.:satisfied:

 

Ach ja, warum warnt Signal davor diesen Link zu benutzen und lieber über Google  zu gehen, was ist an dieser apk den so gefährlich bzw. anders?

Bearbeitet von BaziLuder
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Minuten schrieb frankfree:

 

Das kannst du gerne so machen, es ändert aber nichts an der Tatsache, das du die App auf beiden Plattformen (OS) installieren musst damit das unter Windows als Desktopapp funktioniert.

=> Ne, das war ein Mißverständnis, ich will Signal nur auf dem Smartphone. ;-)

 

Das ist klar. Deswegen habe ich dir für Android den anderen Link gepostet. Da Chip auch sehr auf Datensicherheit achtet, nehmen die für Android, wenn möglich immer den sichersten Link. Und das ist nunmal der Google Play Store.

=> O.k. verstehe.:satisfied:

 

Ich hab von beiden Links jetzt mal die apk auf meinen Rechner gezogen aber heut versuch ich sähkö´s Procedere nicht mehr, mach jetzt gleich Feierabend.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 8 Minuten schrieb schmando:

Und dann biste irgendwann super ausspähsicher.

Ziehst aber auf nem Run vor hundert Smartphones blank....

...nobody´s perfect...;-):laugh:

 

 

Zumindest hab ich dann damit wenigstens erreicht, das Marc Zuckerberg in sein veganes, glutenfreies, chia-power-food, Fairtrade-Müsli kotzt wenn er die Bilder aufmacht.

Bearbeitet von BaziLuder
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich hab mir Signal nun über diesen Link geholt.

 

Nachdem Sie bei diesem Link angeben man solle die apk die man gezogen hat, mit diesem Hash-Wert gegenprüfen:

You can verify the signing certificate on the APK matches this SHA256 fingerprint:

29:F3:4E:5F:27:F2:11:B4:24:BC:5B:F9:D6:71:62:C0 EA:FB:A2:DA:35:AF:35:C1:64:16:FC:44:62:76:BA:26

Würde es mich interessieren wie das geht. :withstupid::rotwerd:

In den Einstellungen in der App auf dem Smartphone finde ich nix (oder sehe es nicht) und wenn ich in der App-Auflistung die App anwähle finde ich in den dortigen Einstellungen auch nix was dem gleich kommt.

Sorry für meine Blödheit, aber müsste ich nicht dort den gleichen Hash-Wert finden um sie vergleichen zu können?:withstupid::rotwerd:

Bearbeitet von BaziLuder
Link zu diesem Kommentar
Auf anderen Seiten teilen

Unter Linux jetzt z.B. so:

 

unzip -p SignalBla.apk "META-INF/*.RSA" | keytool -printcert | head -n 9

 

Wenn ich dich richtig verstehe hast Du das apk aber doch schon installiert. Dann kannst Du dir das auch schenken :-)


Edith sagt zum Hintergrund:


Ein APK-file ist eigentlich nix anderes als ein Zip-File.
Entpackt findet man darin ein .RSA File, was die benötigten Informationen enthält.

Unter Windows kannst Du das (entpackte) File mit "keytool.exe" auslesen.
Das Programm ist Bestandteil des Java JDK.

Hier noch ein Link genau zu deiner Frage:
https://security.stackexchange.com/questions/178936/how-to-verify-sha256-fingerprint-of-apk?rq=1
 

Bearbeitet von McGregor
Ergänzt...
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Stunden schrieb McGregor:

Unter Linux jetzt z.B. so:

 

unzip -p SignalBla.apk "META-INF/*.RSA" | keytool -printcert | head -n 9

 

Wenn ich dich richtig verstehe hast Du das apk aber doch schon installiert. Dann kannst Du dir das auch schenken :-)


Edith sagt zum Hintergrund:


Ein APK-file ist eigentlich nix anderes als ein Zip-File.
Entpackt findet man darin ein .RSA File, was die benötigten Informationen enthält.

Unter Windows kannst Du das (entpackte) File mit "keytool.exe" auslesen.
Das Programm ist Bestandteil des Java JDK.

Hier noch ein Link genau zu deiner Frage:
https://security.stackexchange.com/questions/178936/how-to-verify-sha256-fingerprint-of-apk?rq=1
 

Mein PC ist Windows, aber ich hab die apk noch im Downloadverzeichnis.

Ich hab die jetzt mal mit 7-Zip entpackt, wieder was gelernt, ich wusste nicht das apk eine Komprimierung ist, allein dafür schon ein Danke.:thumbsup:

  1. Nach dem Extrahieren hab jetzt auch das [META-INF]-Verzeichnis wie in der verlinkten Anleitung beschrieben, allerdings ist in dem Verzeichnis kein [CERT.RSA], dafür aber ein [SIGNAL_S.RSA], ich hoffe die entspricht der CERT.
     
  2. Habe ich den angegebenen keytool-Befehl dementsprechen angepasst

    Vorlage aus Homepage:           keytool -printcert -file X:\Path\To\CERT.RSA

    Ort der RSA auf meinem PC:   C:\Users\bd\Downloads\Signal\Signal-website-release-4.31.6\META-INF\SIGNAL_S.RSA

    Angepasster Befehl:                keytool -printcert -file C:\Users\bd\Downloads\Signal\Signal-website-release-4.31.6\META-INF\SIGNAL_S.RSA
     

  3. Danach hab ich das DOS-Fenster geöffnet und hinter das C:\> die angepasste Befehlszeile kopiert keytool -printcert -file C:\Users\bd\Downloads\Signal\Signal-website-release-4.31.6\META-INF\SIGNAL_S.RSA
     

Doch DOS sagt mir nun, dass es den keytool-Befehl nicht kennt, ich bin mir aber auch sicher dass ich was falsch gemacht hab, wie geht´s richtig?

 

 

O.K. next try, ich hab jetzt diese [keytool.exe] gefunden, sie liegt mit leicht abweichender Pfadangabe am in der Anleitung angegebenen Ort.

Wenn ich sie ausführe sehe ich kurz das DOS-Fenster blitzen und dann isses auch schon wieder weg. :withstupid:

 

Letzer Versuch war es in die [Ausführen]-Zeile einzugeben, aber da bringt er wieder die Meldung dass er den Befehl keytool nicht kennt.

Wie gesagt bin Laie und höre jetzt auf bevor ich hier noch was zerschrote.

 

Bearbeitet von BaziLuder
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ja, die heißt da Signal_S.RSA.
Tippe mal cmd in die Ausführen-Zeile, das startet die Kommandozeile. Die schließt sich dann auch nicht mehr und du kannst den aufgetretenen Fehler sehen.
Dann musst Du mit cd in den Ordner wechseln wo diese keytool.exe liegt ( z.B. cd \Programme\BlaBlub), da dieser wohl  nicht in der Path-Variablen deines Windows-Systems steht und sich somit nicht von überall ausführen lässt (Stichwort relative und absolute Pfade).

 

Dein Ehrgeiz in allen Ehren, aber wie gesagt, wenn Du die App schon installiert hast, brauchst Du sie  ja nicht mehr verifizieren, da es im Ernstfall ja eh zu spät wäre.

Ich habe den Fingerprint von dem Download übrigens überprüft. Ist wie zu erwarten alles richtig.

Ganz nebenbei sorgt übrigens eine Installation über den PlayStore auch dafür dass dir keiner andere oder nicht verifizierte Apps unterjubeln kann.

Aber Google ist ja böse, so wie WhatsApp :whistling:

 

 

 

 

 

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.


×
×
  • Neu erstellen...

Wichtige Information