Разработчики программы Signal только сейчас занялись устранением уязвимости в десктопной версии клиента, отмеченной еще в 2018 году. В течение шести лет они не сочли это проблемой и не чувствовали обязательства исправить ее.
При установке десктопной версии Signal для Windows или macOS создается зашифрованная база данных SQlite, в которой хранятся сообщения пользователя. Шифрование осуществляется с помощью ключа, генерируемого программой автоматически, без участия пользователя. Однако этот ключ сохраняется в открытом виде в файле формата JSON в папке программы, позволяющей доступ к нему любому пользователю или другому приложению, работающему на том же компьютере. Это уязвимость подвергала сомнениям безопасность шифрования базы данных.
В соответствии с сообщениями пользователей с 2018 года, разработчики Signal отвечали, что не обязаны обеспечивать безопасность базы данных. В мае 2024 года Илон Маск отметил известные уязвимости в Signal, хотя эту информацию опровергла служба проверки фактов платформы.
Независимый разработчик Том Плант предложил использовать для защиты средства Electron SafeStorage API, что позволит перенести ключи шифрования в защищенные местоположения: для Windows – DPAPI, для macOS – Keychain, для linux – секретное хранилище текущего оконного менеджера. Это решение было интегрировано в мессенджер и будет доступно в будущей бета-версии, обеспечивая дополнительный уровень безопасности. и разные девайсы.