Molly — uma versão independente e open source do Signal aprimorado

 (molly.im)
3 pontos por GN⁺ 2025-11-29 | 1 comentários | Compartilhar no WhatsApp
  • Molly é um fork do Signal para Android, um mensageiro totalmente open source (FOSS) com segurança e controle do usuário aprimorados
  • Não inclui código proprietário e protege os dados criptografando o banco de dados com frase-senha (Passphrase)
  • Permite conectar vários dispositivos a uma única conta e oferece um design personalizado com base na paleta de cores do aparelho com o tema Material You
  • Fortalece a segurança com um sistema de notificações sem Google via UnifiedPush e bloqueio automático
  • Inclui recursos de segurança adicionais, como RAM Shredding, além de planos de expansão de novos recursos para o futuro

Visão geral do Molly

  • Molly é um fork independente do Signal para Android, em uma versão que melhora as funcionalidades do app original
    • Mantém a filosofia de segurança e privacidade do Signal, ao mesmo tempo em que remove componentes proprietários
    • É oferecido como FOSS (software livre e open source completo), garantindo transparência

Principais recursos de segurança

  • Utiliza criptografia por frase-senha (Passphrase Encryption) para criptografar o banco de dados
    • Estrutura voltada para proteger mensagens e metadados do usuário
  • O recurso RAM Shredding remove com segurança dados sensíveis restantes na memória RAM
  • Com o recurso de Bloqueio automático (Automatic Locking), o app é bloqueado automaticamente após um período de inatividade

Experiência do usuário e design

  • Suporta o tema Material You para oferecer uma interface consistente alinhada à paleta de cores do dispositivo
  • A funcionalidade de Conexão de vários dispositivos (Multi-Device) permite usar uma única conta em múltiplos dispositivos simultaneamente

Notificações e estrutura de comunicação

  • Adota um sistema de notificações sem Google com UnifiedPush
    • Uma estrutura que entrega notificações sem depender dos Serviços do Google Play

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-29
Opiniões no Hacker News

  • Usei o Molly por mais de um ano, mas um dia o registro do dispositivo simplesmente sumiu e eu também não conseguia me registrar de novo no servidor
    O recurso de backup também não funcionava, então fiquei completamente travado por alguns dias e, no fim, tive que voltar para o Signal e criar um novo banco de dados
    Foi uma experiência realmente horrível

    • Também passei por quase exatamente o mesmo problema no app oficial do Signal
      Uso Signal/Molly porque meus amigos usam, mas os apps concorrentes também são parecidamente ruins
      Não entendo por que ninguém ainda conseguiu fazer um cliente de IM decente. Parece que quase não houve evolução desde a era do Pidgin

  • O projeto Whisperfish é um mensageiro Signal para Sailfish OS e mantém uma biblioteca independente de cliente Signal escrita em Rust
    Funciona muito bem, desde que o Signal não mude o protocolo nem bloqueie clientes não padronizados
    Veja o projeto Whisperfish e a biblioteca Presage

    • Só como referência, essa biblioteca depende de libsignal

  • Sobre a pergunta “que proprietary blobs o Signal tem?”, segundo o readme no GitHub ele inclui FCM e Google Maps
    Na prática, o FCM não exige necessariamente um blob, mas o Google fez parecer que exige
    Quando fiz engenharia reversa por conta própria, vi que era só um wrapper exagerado em volta de dois receptores de broadcast simples
    Por isso, o app do Mastodon virou o primeiro app a oferecer notificações push via FCM sendo 100% open source

    • Firebase e GMS também estão incluídos
      Para usuários cujo modelo de ameaça inclui a Alphabet, o vazamento de metadados pode ser desagradável
      O Molly tem uma versão que usa Firebase e uma versão Molly-FOSS que usa UnifiedPush
      A GrapheneOS também publicou um tweet certificando oficialmente o Molly
    • Ainda assim, é bom que existam clientes alternativos
      É irônico um mensageiro com E2EE se fechar para se proteger mais do que proteger o usuário
      Houve uma época em que os usuários podiam lidar livremente com mensagens em seus próprios dispositivos — inclusive com scripts ou automação
      Mas isso é história de uma era anterior ao E2EE e anterior ao domínio do mobile

  • A função matadora deste app é poder instalá-lo diretamente pelo F-Droid
    Uso há bastante tempo com satisfação, e sou grato ao desenvolvedor

    • Para referência, a página oficial de download do APK do Signal está aqui
    • Também há um build do Signal no repositório F-Droid do Guardian Project
    • Para mim, a maior vantagem é o suporte a notificações via UnifiedPush. O Signal só oferece suporte a websocket e FCM
    • Boa informação. Acho que isso vai deixar meu ambiente de uso bem mais confortável

  • Eu quero um protocolo unificado e um cliente escolhido por mim, não um novo app de chat

  • O Signal no Android não oferece suporte ao modo de app complementar para tablet
    Então, para usar Signal em um tablet Android, você precisa usar o Molly
    Desde o lançamento do Pixel Tab, migrei do iPad e ele tem funcionado de forma bem estável

  • Aposto US$ 50 que isso provavelmente é algum tipo de tentativa de interferência em nível estatal
    O Signal já está difundido a ponto de a maioria dos meus amigos usá-lo, e é quase impossível convencê-los a migrar para outro app
    Também não há evidência clara de que o Signal seja inseguro

    • Mas eu questiono por que deveríamos confiar em um serviço centralizado desse tipo
      Me arrependo de ter levado minha família para o Signal. Não tenho controle sobre os dados e dependo de um serviço sediado nos EUA
      Se a proposta europeia de Chat Control for aprovada, esse tipo de serviço centralizado será um dos primeiros alvos
      O fato de o Signal ser sediado na Califórnia também merece críticas
    • Só para constar, o Molly usa os mesmos servidores do Signal, então usuários dos dois apps podem trocar mensagens e fazer chamadas normalmente
    • O Signal sempre esteve no centro de polêmicas sobre centralização
      Uso de número de telefone, descoberta de contatos, a criptomoeda MOB e outros pontos levaram ao surgimento de alternativas como Matrix e Molly, mas elas ainda continuam de nicho
    • Se for interferência, ainda assim parece uma tentativa ambiciosa de resolver problemas antigos do Signal

  • Fico pensando se o recurso de fallback para SMS foi adicionado de novo
    Se não, pretendo continuar usando Matrix. Ele oferece privacidade no nível do Signal e uma UX no nível do Discord

    • Queria saber qual app cliente Matrix você usa
      Depois do IPO do Discord, tentei usar o Revolt (hoje Stoat Chat) como substituto, mas o compartilhamento de tela e o cancelamento de ruído do Discord são excelentes demais
      No Element, o ruído de fundo era tão forte que ficava difícil conversar
    • Mas o nível de privacidade do Matrix não tem comparação com o do Signal

  • Minha maior reclamação com o app do Signal é a UI/UX e a falta de recursos
    Sinceramente, o design é meio grosseiro, e recursos como compartilhamento de localização em tempo real ou mensagens de sincronização entre vários dispositivos dificilmente serão implementados com a estratégia atual
    Mesmo assim, vendo que não há uma única captura de tela no site oficial, parece que essa “versão melhorada” não reflete em nada o que eu gostaria

    • Também vasculhei a app store e o GitHub atrás de capturas de tela, mas não achei nada
      Destacar o tema “Material You” sem mostrar uma única captura de tela é estranho
    • Penso a mesma coisa. Até abri o GitHub, mas não há imagem nenhuma
    • Em contrapartida, eu estou bastante satisfeito com a interface do Signal. Não sou designer de GUI, mas nem sei o que poderia ser melhor

  • Fico curioso se é um app como o Signal, que força atualizações periódicas
    Eu quero um app que não precise de atualização — no fim das contas, isso provavelmente seria e-mail

    • Por que você quer um app que não precise de atualização?
      Isso significa deixar bugs e vulnerabilidades de segurança lá para sempre
      O Signal só bloqueia quando há correções de segurança, e o intervalo é bem maior do que apenas algumas semanas
    • Se você não atualizar, pode acabar sendo vítima de um exploit zero-click. É uma vulnerabilidade que já foi corrigida em outros lugares