Десктопная версия Signal 6.2.0 и более ранние версии для Windows, Linux и macOS подвержены уязвимостям CVE-2023–24068 и CVE-2023–24069.
Signal Desktop хранит вложения в каталоге ~\attachments.noindex в незашифрованном виде. Они автоматически удаляются из этого каталога, если пользователь удаляет их из чата. Однако, если на сообщение с вложением был дан ответ собеседника (с цитированием), то вложение продолжает храниться в локальной папке в открытом виде даже после удаления в интерфейсе мессенджера.
Более того, злоумышленник может подменить хранящийся в кэше файл. Если объект потенциального взлома после подмены перешлёт существующую ветку в другие чаты, то в ней окажутся именно подменённые файлы, а не исходные. Исходя из этого, исследователи делают вывод, что Signal Desktop не проверяет изменения в кэшированных ранее файлах.
Signal Desktop хранит вложения в каталоге ~\attachments.noindex в незашифрованном виде. Они автоматически удаляются из этого каталога, если пользователь удаляет их из чата. Однако, если на сообщение с вложением был дан ответ собеседника (с цитированием), то вложение продолжает храниться в локальной папке в открытом виде даже после удаления в интерфейсе мессенджера.
Более того, злоумышленник может подменить хранящийся в кэше файл. Если объект потенциального взлома после подмены перешлёт существующую ветку в другие чаты, то в ней окажутся именно подменённые файлы, а не исходные. Исходя из этого, исследователи делают вывод, что Signal Desktop не проверяет изменения в кэшированных ранее файлах.