Ich bin ein großer Fan der Bitbox geworden und auch der Anonymität.
Bis lang gibt es die Bitbox app nur für Android. Weiss jemand von euch, ob die Bitbox App auch auf einen mobilen gerät mit GrapheneOS zu installieren ist?
2 „Gefällt mir“
Ich selber habe kein GrapheneOS, aber ich denke es müsste mit Android-Apps kompatibel sein. Hier kannst Du die „BitBoxApp for Android“ direkt als APK herunterladen:
Kannst du berichten, ob das funktioniert?
3 „Gefällt mir“
Du kannst die App Obtainium verwenden um über Updates auf GitHub informiert zu werden:
Hallo Stadicus!
Kannst du bitte eure Bitbox Wallet App auf weiteren Quellen veröffentlichen um eure Unabhängigkeit zu verbessern? Zum Beispiel auf F-Droid und eurer Webseite bitbox.swiss
Aber bitte immer mit dem gleichen eigenen (privaten!) App Schlüssel. Dann kann man updaten egal von welcher Quelle. Bei Google Play Store habt Ihr leider ein Opt-In in die Play App-Signatur gemacht. Das heißt, Google könnte eure App vor dem Ausliefern verändern!!! Zentrale Schlüssel sehen wir Bitcoiner gar nicht gern, das weißt du doch 
Das selbe Problem hat auch F-Droid, aber die haben mittlerweile eine Lösung:
Bitte überall nur reproduzierbare APK’s veröffentlichen:
Ähnlich wie Ihr es schon mit eurer Firmware geschafft habt:
Danke!
1 „Gefällt mir“
Hi,
Bitbox läuft sauber auf GrapheneOS (wahlweise Pixel7 mit Android14 oder Pixel4a mit Android13 als Basis).
Lässt sich mittels
- anonymen Konto via
- Aurora-Store installieren
- ohne Google Play Store/Dienste/Framework auf dem Gerät installiert zu haben.
Bemerkenswert fand ich auch, dass APP und Bitbox sofort mit einander über den USB-C-Port kommunizieren konnten. Es poppte direkt ein Fenster mit der Frage um Erlaubnis auf und das war’s. Falls die Frage später auftaucht: „Sensor Access“ kann man ohne Probleme verneinen…
Es wird Zeit Google und Apple zu shorten 
4 „Gefällt mir“
Hallo Knecht!
Hast du eigentlich meinen geteilten Artikel gelesen und auch verstanden?
Er erklärt ein Problem beim Verteilen von der Bitbox Wallet App, und zwar, dass wir dritten Parteien wie Google Play Store, GitHub oder F-Droid App Store vertrauen müssen. Wir Bitcoiner vertrauen aber niemanden, wir überprüfen. Und zwar den Fingerabdruck der heruntergeladenen Installationsdatei und nach der Erstinstallation die App Signatur ob diese wohl mit dem Schlüssel des Herstellers signiert wurde. (Android akzeptiert nur Updates mit der gleichen Signatur.)
Aber das Problem ist, Google Play Store oder F-Droid nehmen jeweils ihre eigenen Schlüssel und sind somit in der Lage die Wallet App vor der Auslieferung zu manipulieren! Es gibt zwar Anstrengungen dies zu Überwachen, aber 100% efektiv ist das nicht. So wie du deine Hardware Wallet direkt bei deinem Hersteller bestellst um Manipulation zu vermeiden, so solltest du auch die Wallet App nur von deinem Hersteller Webseite herunter laden und überprüfen!
Außerdem, Aurora Store hat die Rechte ACCESS_NETWORK_STATE und ACCESS_WIFI_STATE, bekommt also die Signalstärke deiner verbundenen Cell ID’s und SSID’s und Google kann damit deine Position exakt peilen. Auch mit der anonymen Anmeldung!
Hey, Danke der Nachfrage & für den Link. Hab ihn gelesen - mit großer Begeisterung, nicht mit großem Schrecken. Verstanden habe ich vieles, aber sicher nicht alles.
Da gibt’s doch einige Punkte Abzug in der B-Note.
Aber es stapeln sich die Gedanken in meinem Kopf; daher der Reihe nach:
- Bajazzo hat einen Threat eröffnet und eine Frage gestellt; ich hab’ ausprobiert und ihm geantwortet. Punkt!
Genau genommen verfolgen deine Eingaben aber eine eigene Agenda.
Was nicht schlimm ist, darüberhinaus konstruktiv sein kann - ich unterstütze sogar die Idee des reproduzierbaren Builds und frage mich warum das noch nicht common sense ist (wahrscheinlich weil es zu wenige gibt, die bemerken, dass das wichtig ist!) - Obtainium hab ich noch der Brust! Auch dafür Danke! Also tbc…
- Ganz großer Einwand:
Lese ich diesen Satz frage ich mich nach dem Fundament, auf dem dieses WIR beruhen könnte. Vielleicht sollte ich mal diesen „niemand“ fragen.
Lese ich diesen Satz stell ich fest, dass ich kein Bitcoiner sein will.
Lese ich diesen Satz erinnere ich mich an die völlig aus dem Ruder gelaufene Unfähigkeit unserer Generation, mit dem menschlichen Bedürfnis nach Vertrauen maßvoll umgehen zu können - in beide Richtungen…
Lese ich diesen Satz frage ich mich, ob es noch eine lebenswerte Welt geben wird, nachdem Bitcoin die Welt erobert hat.
…mich wundert es jedenfalls nicht mehr, dass ich Menschen allein im Auto sitzen & eine FFP2 tragen sehe 
Das sagt jetzt nichts wirklich über dich, eigentlich nur etwas über mich. (Ich kann’s aber teilen (vllt. wird noch mal ein WIR draus )
Das versteht sich doch allerdings ausschließlich zum Zeitpunkt der Installation und des Updates, oder?
Die Sandbox-Methode funktioniert zwar nur so gut wie ich mir darüber im Klaren bin, welche Rechte ich der jeweiligen App zugestehe;
Aber GrapheneOS verfügt neben extensivem sandboxing über hervorragende >Kill Switches<, die ich auch in reichem Umfang nutze, wenn ich Apps nicht brauche. (Nutzerprofil, Arbeitsprofil, Shelters Autofrost-Funktion).
Nutzt du selbst GrapheneOS oder andere Variante wie Librem, etc?
2 „Gefällt mir“
1 „Gefällt mir“
Suche mal nach „dont’t trust, verify“:
https://gruble.de/search?q=don’t%20trust%2C%20verify
Das ist ein alter Bitcoin Slogan. Früher musste ich vertrauen wieviel Gold wirklich im Bunker war, jetzt kann ich überprüfen weil Bitcoin das Oracle Problem vermeidet (nicht löst). Hoffe, eure Gedanken stapeln sich wieder
Das System reagiert zunehmend wieder mit mehr Zwang: Massenüberwachung (Überwachungskapitalismus), digitale Zentralbankwährung (CBDC), Vermögensregister, EU Digital ID
Das sind ohne Zweifel nicht so schöne Entwicklungen und es wird sich erst zeigen wieviel sich der Bürge(r) noch gefallen lassen wird.
Aber um aufs Thema zurück zu kommen, Teil des Systems sind die großen App Stores. Diese schmeißen immer mal wieder Wallet Apps raus, oder sie kommen erst gar nicht rein. So wie die Bitbox App nicht in den Appel App Store ist. Deswegen sollten die Wallethersteller auch den höchstmöglichen dezentralen und nachvollziebaren Weg der Verteilung ihrer Produkte gehen!
Newpipe ist da ein gutes Beispiel. Das ist eine YouTube App die ist nicht im Google Play Sore weil sie Werbung und Tracker blockt. Kein Problem, man kann sie von der eigenen Webseite newpipe.net herunter laden oder bei F-Droid eine eigene Bibliothek einbinden. So sieht das aus:
Die App „Hash Droid“ verwende ich um den Hash der herunter geladenen apk zu überprüfen.
Die App „Checkey“ verwende ich um den Signing key der installierten App zu überprüfen.
ClassyShark3xodus macht das auch. Diese Apps findet ihr bei F-Droid.
1 „Gefällt mir“
Nein, zum Zeitpunkt der App Nutzung (Vordergrund und Hintergrund!). Du kannst dein Setup mal visualisieren und testen mit SatStat:
https://mvglasow.gitlab.io/satstat/
Du siehst hier du solltest nicht Internet und Standort zur selben Zeit nutzen. Aber irgendwann vergisst man drauf. Mit einer BSSID bist du auf einen Umkreis von ca. 30 Metern genau lokalisiert. Bei drei Signalstärken (dBm) hat man deinen Standort punktgenau gepeilt!
Teste auch mal die unterschiedlichen Vorschläge für dich im Aurora Store. War mal in einem WLAN+Standort AN in einer Partygegend da kamen Dating Apps:
Von wegen mit Open Source Apps hast du Privatsphäre!
Ich verwende ein 4 Jahre altes OnePlus mit LineageOS mit allerhand Härtungen vom Kuketz usw. Ist natürlich nicht so gut wie GrapheneOS aber dafür muß ich kein Google Pixel nehmen. Google ist die Mutter des Überwachungskapitalismus. Spieltheoretisch glaube ich nicht, dass man mit Google Hardware + GrapheneOS Google los ist. Die Beweise werden wohl erst irgendwan mit Man-in-the-Midle Hacks mit Fake-Funkzellen erbracht. Dabei muss man schlau vorgehen, der von Google entwickelten Tensor-Chip hat künstliche Inteligenz und ist spezialisiert auf Bild- und Audioverarbeitung. Google ist auch ein eigener Netzbetreiber und somit könnten die Pixel mit der fix eingebauten eSIM auch „nach Hause telefonieren“! Alles ohne Betriebssystem! Woher kenn ich das? Aja, Baseband oder Intel Management Engine, …
Deswegen, die Lösung kann hier nachhaltig nur Open Source Hardware sein…
Da würde ich sogar drauf wetten, dass Graphene OS + Pixel nur ein trojanisches Pferd ist! Mein erster Gedanke, als ich davon hörte, dass man ausgerechnet Google-Hardware entgoogeln wollte, war: Als wenn das nicht hardwareseitig zu verhindern wäre!
Ich vertraue deshalb Graphene OS nicht, solange es auf Google-Geräten läuft.
1 „Gefällt mir“
Aber vergiss das im digitalen Hinterland Deutschland, das ist laut Hackerparagrafen zZ. auch noch für Sicherheitsforscher verboten!
Mal schaun ob sich das bald ändert:
https://blog.fefe.de/?ts=9b9f9176
Ich habe es ausprobiert und es funktioniert tadellos.
Empfehlung direkt über Releases · digitalbitbox/bitbox-wallet-app · GitHub die APK runterladen und anschließend den Hash und die Signatur prüfen.
Merci beaucoup !
Genaue diese Apps zum Prüfen des Hashes und der Signatur habe ich gebraucht.
1 „Gefällt mir“
Ja, aber nur am PC. Unter Android ist mir keine App bekannt die GnuPG verifizieren kann. Ausser ein Terminal App, aber das ist umständlich und mache ich dann auch lieber mit Debian und verschiebe die überprüfte Apk-Datei danach nach Android. Für Android finde ich GitHub schon umständlich und außerdem gibts Kritik wegen Sanktionen und Zensur:
Am unabhängisten wäre ein Download von der eigenen Webseite. Allerdings sollte diese regelmässig gehärtet werden:
Mehr Tools:
Mehr Komfort gäbe es mit einem F-Droid-Repository.