Author

Topic: [Android] Seedcake App Open-Source Bitcoin Seed Storage (Read 116 times)

legendary
Activity: 1862
Merit: 5154
**In BTC since 2013**
Quanto à questão da segurança relacionada ao uso do teclado, você levantou um ponto muito importante. O armazenamento de palavras digitadas pelo Gboard realmente pode ser uma vulnerabilidade dado esse histórico que você descreveu. Vou trabalhar para implementar uma solução mais segura para a entrada das palavras, evitando que dados sensíveis sejam armazenados ou sugeridos pelo teclado. Agradeço muito a sugestão e fique atento às atualizações futuras do Seedcake!

Nesse campo, poderia sugerir é tornar as palavras em botões. Pode haver um campo de pesquisa, e depois a pessoa carrega na palavra que quer para a seed.
Muitos sites de bancos usam esse sistema de botões, para evitar registos de teclado (key log).
newbie
Activity: 5
Merit: 6
@F4bioo, estava testando o aplicativo aqui, bem simples de usar e pode ser uma alternativa para aquelas pessoas que salvam suas seeds em um bloco de notas.. infelizmente é algo comum.

Uma dúvida básica.. se a pessoa perder o celular, perdeu a seed né? desinstalei e instalei o app novamente para ver se salvava na nuvem ou algo do tipo, e não tinha nada.

Uma sugestão de segurança: mudar a forma de entrada das palavras.. o teclado do Google (Gboard) salva todas palavras em sua base de dados conforme você as escreve e, para piorar, salva exatamente na ordem em que você as escreve.. não sei como o Google trata esses dados (ou seja, se há vazamentos), mas qualquer pessoa que pegar seu celular pode acabar descobrindo sua seed.. esse problema é ainda maior para nós que usamos outro idioma já que essas palavras estarão em inglês, chamando ainda mais atenção.

Exemplo, após usar o Seedcake entrei no Telegram e digitei a primeira palavra da minha seed (pet), todas as outras aparecem como sugestão do Gboard:

https://www.talkimg.com/images/2023/11/29/NmKqg.png

Btw, não sei como carteiras mobile tratam essa brecha de segurança.



Olá @sabotag3x! Obrigado pelo feedback e pela pergunta.

O Seedcake não tem permissão de internet e não possui uma feature de sync, portanto, não salva dados em servidores externos. Nesse momento, para as versões atuais, ter o app offline é uma medida de segurança. Existem três formas de custodiar a informação encriptada da seed:

  • Guardar o QR Code: Você pode armazenar o QR Code gerado pelo Seedcake em um serviço de nuvem de sua confiança.
  • Copiar a Hash Criptografada: Outra alternativa é copiar a hash criptografada e guardar em algum lugar seguro de sua preferência.
  • Salvar Localmente: O app permite que na etapa final do fluxo, salvar a seed encriptada localmente em um arquivo de banco de dados. No entanto, em caso de perda, furto ou danos ao dispositivo, você não teria mais acesso a suas informações e isso invalidaria o processo de custódia.
---

Minha sugestão é optar pela hash ou QR Code armazenados em nuvem dado que são dados encriptados ou em aplicativos de gerenciamento de senhas, como o Bitwarden, que oferecem uma camada adicional de criptografia e sincronização em nuvem.

Quanto à questão da segurança relacionada ao uso do teclado, você levantou um ponto muito importante. O armazenamento de palavras digitadas pelo Gboard realmente pode ser uma vulnerabilidade dado esse histórico que você descreveu. Vou trabalhar para implementar uma solução mais segura para a entrada das palavras, evitando que dados sensíveis sejam armazenados ou sugeridos pelo teclado. Agradeço muito a sugestão e fique atento às atualizações futuras do Seedcake!
legendary
Activity: 2688
Merit: 2297
@F4bioo, estava testando o aplicativo aqui, bem simples de usar e pode ser uma alternativa para aquelas pessoas que salvam suas seeds em um bloco de notas.. infelizmente é algo comum.

Uma dúvida básica.. se a pessoa perder o celular, perdeu a seed né? desinstalei e instalei o app novamente para ver se salvava na nuvem ou algo do tipo, e não tinha nada.

Uma sugestão de segurança: mudar a forma de entrada das palavras.. o teclado do Google (Gboard) salva todas palavras em sua base de dados conforme você as escreve e, para piorar, salva exatamente na ordem em que você as escreve.. não sei como o Google trata esses dados (ou seja, se há vazamentos), mas qualquer pessoa que pegar seu celular pode acabar descobrindo sua seed.. esse problema é ainda maior para nós que usamos outro idioma já que essas palavras estarão em inglês, chamando ainda mais atenção.

Exemplo, após usar o Seedcake entrei no Telegram e digitei a primeira palavra da minha seed (pet), todas as outras aparecem como sugestão do Gboard:



Btw, não sei como carteiras mobile tratam essa brecha de segurança.
newbie
Activity: 5
Merit: 6
Apresentando Seedcake: App Open-Source para Armazenamento de Seed de Bitcoin

Olá a todos, sou novo aqui e acredito que o Bitcoin é uma ferramenta de liberdade. Estou empolgado para apresentar o aplicativo Seedcake (Android), um projeto open-source que criei.

Contexto e Motivação:
O Seedcake oferece uma maneira segura de armazenar seeds de Bitcoin baseadas em Bip-39. Pode parecer loucura armazenar frases-seed em smartphones. No entanto, considerando os riscos dos métodos físicos em cenários de emergência, e reconhecendo que nem todos usam uma passphrase (embora devessem), pensei: se confiamos na criptografia com nossos ativos digitais, por que não usá-la para proteger nossas seeds como uma camada adicional de segurança além da passphrase?

Características e Funcionalidades:
  • Método de Criptografia: Proteção de dados AES/GCM.
  • Força da Chave: Utiliza uma chave de 256 bits, processada através de 200.000 iterações.
  • Compatibilidade da Frase-Seed: Suporta padrão de 12 a 24 palavras em inglês Bip-39.
  • Funcionalidade Seed Colorida: Um método único e menos seguro para armazenamento de frases-seed.

Responsabilidade do Usuário:
Este aplicativo é uma contribuição para a comunidade e não tenho intenção de justificar o uso disso ou daquilo. Este é apenas algo que pensei que pudesse ser útil em cenários que o armazenamento convencional não fosse viável. Os usuários são responsáveis pela segurança de seus dados. O Seedcake não armazena nenhuma informação sensível tal como a passphrase usada para encriptar a seed, garantindo que os usuários mantenham o controle.

Convite para Contribuições:
Se alguém tiver ideias para funcionalidades, auditorias ou contribuições de código, serão muito bem-vindas. Como um projeto open-source, o Seedcake incentiva o envolvimento da comunidade para aprimoramentos e feedback.

Link para o GitHub:
Para mais detalhes, visite a página do Seedcake no GitHub: https://github.com/F4bioo/Seedcake

Considerações Finais:
Obrigado pelo seu tempo! Aguardo a contribuição e o apoio da comunidade para tornar o Seedcake uma ferramenta valiosa para aqueles que buscam uma solução digital para armazenamento de frases-seed.
Jump to: