Molly – ein verbesserter, unabhängiger Open-Source-Fork der Signal-App

 (molly.im)
3 Punkte von GN⁺ 2025-11-29 | 1 Kommentare | Auf WhatsApp teilen
  • Molly ist ein Signal-Fork für Android und ein vollständiger Open-Source(FOSS)-Messenger, der Sicherheit und Nutzerkontrolle verbessert
  • Es werden keine proprietären Komponenten verwendet, die Datenbank wird durch Passphrase verschlüsselt und geschützt
  • Eine Verbindung mehrerer Geräte pro Konto ist möglich, und mit dem Material-You-Design wird ein auf die Gerätekolor-Palette abgestimmtes Layout bereitgestellt
  • Mit UnifiedPush und einem Nicht-Google-Benachrichtigungssystem sowie einer automatischen Sperrfunktion wird die Sicherheit verbessert
  • Zusätzliche Sicherheitsfunktionen wie RAM-Datenvernichtung (RAM Shredding) sowie Pläne für weitere Funktionserweiterungen in der Zukunft sind enthalten

Molly-Übersicht

  • Molly ist ein unabhängiger Fork von Signal für Android, der die Funktionen der Original-App verbessert
    • Die Sicherheits- und Datenschutzphilosophie von Signal bleibt erhalten, dabei wurden proprietäre Bestandteile entfernt
    • Es wird als vollständig freie Open-Source-Software (FOSS) angeboten, was Transparenz schafft

Hauptsicherheitsfunktionen

  • Zur Verschlüsselung der Datenbank wird Passphrasen-Verschlüsselung (Passphrase Encryption) eingesetzt
    • Ein Mechanismus zum Schutz von Nachrichten und Metadaten der Nutzer
  • Mit RAM Shredding werden im Speicher verbleibende sensible Daten sicher gelöscht
  • Die Funktion Automatische Sperrung (Automatic Locking) sperrt die App automatisch nach einer gewissen Zeit der Inaktivität

Benutzererlebnis und Design

  • Durch die Unterstützung von Material You-Themen wird eine konsistente Oberfläche bereitgestellt, die sich an die Farbpalette des Geräts anpasst
  • Mit Multi-Device kann ein Konto auf mehreren Geräten gleichzeitig genutzt werden

Benachrichtigungs- und Kommunikationsstruktur

  • Es wird ein Nicht-Google-Benachrichtigungssystem auf Basis von UnifiedPush eingesetzt
    • Ein Benachrichtigungssystem, das ohne Abhängigkeit von Google-Play-Diensten arbeitet

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-29
Hacker-News-Kommentare

  • Ich habe Molly über ein Jahr lang verwendet, und eines Tages war plötzlich die Geräte-Registrierung verschwunden und eine erneute Registrierung beim Server war ebenfalls nicht mehr möglich
    Auch die Backup-Funktion funktionierte nicht, sodass ich mehrere Tage komplett blockiert war und am Ende zu Signal zurückkehren und eine neue Datenbank anlegen musste
    Es war wirklich eine furchtbare Erfahrung

    • Ich hatte fast genau dasselbe Problem auch mit der offiziellen Signal-App
      Ich nutze Signal/Molly nur notgedrungen, weil meine Freunde es verwenden, aber konkurrierende Apps sind ähnlich kaputt
      Ich verstehe nicht, warum es immer noch niemand geschafft hat, einen ordentlichen IM-Client zu bauen. Es fühlt sich an, als hätte sich seit den Pidgin-Zeiten kaum etwas verbessert

  • Das Whisperfish-Projekt ist ein Signal-Messenger für Sailfish OS und pflegt eine unabhängige Signal-Client-Bibliothek, die in Rust geschrieben ist
    Solange Signal das Protokoll nicht ändert oder nicht standardkonforme Clients blockiert, funktioniert es ziemlich gut
    Siehe Whisperfish-Projekt, Presage-Bibliothek

    • Zur Info: Diese Bibliothek hängt von libsignal ab

  • Auf die Frage, welche proprietary blobs Signal enthält: Laut GitHub-Readme sind FCM und Google Maps enthalten
    FCM ist eigentlich kein Blob, der zwingend nötig wäre, aber Google lässt es so erscheinen
    Als ich es selbst rückentwickelt habe, war es nur ein überladener Wrapper um zwei einfache Broadcast-Receiver
    Deshalb wurde die Mastodon-App zur ersten App, die FCM-Push-Benachrichtigungen unterstützt und trotzdem zu 100 % Open Source ist

    • Firebase und GMS sind ebenfalls enthalten
      Für Nutzer, deren Bedrohungsmodell Alphabet einschließt, kann das Leaken von Metadaten unangenehm sein
      Es gibt von Molly eine Version mit Firebase und eine Molly-FOSS-Version mit UnifiedPush
      Es gibt auch einen Tweet, in dem GrapheneOS Molly offiziell bestätigt
    • Trotzdem ist es gut, dass es alternative Clients gibt
      Es ist ironisch, wenn sich ein E2EE-Messenger stärker gegen seine Nutzer absichert als für sie
      Früher gab es eine Zeit, in der Nutzer auf ihren eigenen Geräten frei mit Nachrichten umgehen konnten — auch per Skript oder Automatisierung
      Aber das war vor E2EE und vor der Dominanz von Mobile

  • Das Killer-Feature dieser App ist, dass man sie direkt über F-Droid installieren kann
    Ich nutze sie seit Langem zufrieden und danke dem Entwickler

    • Zur Info: Die offizielle APK-Download-Seite von Signal ist hier
    • Es gibt auch einen Signal-Build im F-Droid-Repository des Guardian Project
    • Für mich ist die Unterstützung für UnifiedPush-Benachrichtigungen der größte Vorteil. Signal unterstützt nur WebSocket und FCM
    • Gute Information. Das dürfte meine Nutzungsumgebung deutlich angenehmer machen

  • Ich will eher ein integriertes Protokoll und einen Client, den ich selbst auswählen kann, statt noch eine neue Chat-App

  • Android Signal unterstützt den Tablet-Begleit-App-Modus nicht
    Deshalb muss man auf Android-Tablets Molly verwenden, wenn man Signal nutzen will
    Seit dem Erscheinen des Pixel Tab bin ich vom iPad gewechselt, und es läuft ziemlich stabil

  • Ich wette 50 $, dass das wahrscheinlich irgendein Störversuch auf staatlicher Ebene ist
    Signal ist bereits so weit verbreitet, dass inzwischen die meisten meiner Freunde es nutzen, und es ist fast unmöglich, sie zum Wechsel zu einer anderen App zu überreden
    Es gibt auch keine klaren Belege dafür, dass Signal unsicher ist

    • Aber warum sollte man einem solchen zentralisierten Dienst vertrauen?
      Ich bereue es, meine Familie zu Signal gebracht zu haben. Man hat keine Kontrolle über die Daten und ist von einem US-basierten Dienst abhängig
      Wenn der EU-Gesetzentwurf zur Chatkontrolle verabschiedet wird, werden solche zentralisierten Dienste zuerst ins Visier geraten
      Auch Signal sollte dafür kritisiert werden, dass es in Kalifornien ansässig ist
    • Zur Info: Molly verwendet dieselben Server wie Signal, daher können Nutzer beider Apps ganz normal Nachrichten austauschen und telefonieren
    • Um die Zentralisierung von Signal gab es schon immer Kontroversen
      Wegen der Nutzung von Telefonnummern, der Kontakt-Erkennung, der MOB-Kryptowährung usw. sind Alternativen wie Matrix oder Molly entstanden, aber sie bleiben Nischenprodukte
    • Falls es eine Störaktion ist, wirkt sie trotzdem wie ein ambitionierter Versuch, langjährige Probleme von Signal zu lösen

  • Ich frage mich, ob die SMS-Fallback-Funktion wieder hinzugefügt wurde
    Wenn nicht, werde ich weiter Matrix nutzen. Es bietet so viel Privatsphäre wie Signal und eine UX auf Discord-Niveau

    • Ich würde gern wissen, welche Matrix-Client-App du nutzt
      Nach dem Discord-IPO habe ich als Ersatz Revolt (jetzt Stoat Chat) ausprobiert, aber die Bildschirmfreigabe und Rauschunterdrückung von Discord sind einfach zu gut
      In Element waren die Hintergrundgeräusche so stark, dass Gespräche schwierig waren
    • Das Privatsphärenniveau von Matrix ist mit Signal aber nicht vergleichbar

  • Mein größter Kritikpunkt an der Signal-App ist UI/UX und der Funktionsmangel
    Ehrlich gesagt wirkt das Design plump, und Funktionen wie Live-Standortfreigabe oder gerätegrübergreifend synchronisierte Nachrichten werden in der aktuellen Strategie wohl kaum umgesetzt werden
    Und wenn man bedenkt, dass es auf der offiziellen Website nicht einmal einen Screenshot gibt, scheint diese „verbesserte Version“ überhaupt nicht meinen Wünschen zu entsprechen

    • Ich habe auch App Store und GitHub nach Screenshots durchsucht, aber nichts gefunden
      Es ist seltsam, Material You zu betonen und gleichzeitig keinen einzigen Screenshot zu zeigen
    • Ich denke genauso. Ich habe sogar GitHub geöffnet, aber es gibt überhaupt keine Bilder
    • Umgekehrt bin ich mit der UI von Signal völlig zufrieden. Ich bin kein GUI-Designer, aber ich weiß nicht, was daran besser sein sollte

  • Ich frage mich, ob es wie Signal eine App ist, die regelmäßige Updates erzwingt
    Ich will eine App, die keine Updates braucht — am Ende wäre das wohl E-Mail

    • Warum willst du eine App, die keine Updates braucht?
      Das würde bedeuten, dass Bugs und Sicherheitslücken einfach bestehen bleiben
      Signal blockiert nur bei Sicherheits-Patches, und das Intervall ist viel länger als nur ein paar Wochen
    • Wenn du nicht updatest, könntest du einem Zero-Click-Exploit zum Opfer fallen. Es handelt sich um Schwachstellen, die anderswo bereits gepatcht wurden