یک محقق امنیتی کشف کرده است در نسخهی رومیزی پیامرسان سیگنال، کلیدهای رمزگشایی پیامها بهصورت متن ساده و رمزنگارینشده ذخیره میشود که این مسأله میتواند آنها را در اختیار نفوذگران قرار دهد. این آسیبپذیری پردازهای را در سیگنال رومیزی تحت تاثیر قرار داده که پیامهای ذخیرهشده به صورت محلی را رمزنگاری میکند. پیامرسان رومیزی سیگنال از یک پایگاه دادهی رمزنگاریشده SQLite با نام db.sqlite برای ذخیرهسازی پیامهای کاربران استفاده میکند. کلیدهایی که برای رمزنگاری این پایگاه داده استفاده میشود، در طول فرآیند نصب برنامه ایجاد شدهاند.
بر روی ماشینهای ویندوز، این کلید رمزنگاری به صورت متن ساده در فایل %AppData%\Signal\config.json ذخیره میشود. در ماشینهای مک نیز مسیر ذخیرهسازی ~/Library/Application Support/Signal/config.json است. این کلید رمزنگاری هربار که برنامهی سیگنال رومیزی میخواهد به پایگاه داده دسترسی داشته باشد، مورد استفاده قرار میگیرد. این آسیبپذیری به سادگی قابل برطرف کردن است. کافی است از کاربر پسوردی درخواست شده و از آن برای رمزنگاری کلید استفاده شود. در ماه آگوست سال ۲۰۱۸ میلادی یک محقق امنیتی کشف کرد که در نسخهی ۱٫۱۴٫۳ این پیامرسان میتوان پیامهای منقضیشده را بازیابی کرد.
