Signal gaat stoppen met de plain text opslag van de encryptiesleutel waar de desktopapplicatie gebruik van maakt. Deze applicatie slaat berichten van de gebruiker lokaal op in een versleutelde database. De encryptiesleutel voor deze database wordt plain text opgeslagen in een locatie waar die voor elk proces, app of gebruiker toegankelijk is, zo waarschuwden onderzoekers Talal Haj Bakry en Tommy Mysk vorige week op X.

Het probleem is al sinds 2018 bekend. Vorige en deze week ontstond er op X een discussie, waarin Signal-president Meredith Whittaker het 'geklets' over de desktopapplicatie hekelde. Eerder had ook Elon Musk gesteld dat er kwetsbaarheden in Signal aanwezig zijn die niet worden verholpen. Eén van de Signal-ontwikkelaars laat nu op GitHub weten dat de desktopapplicatie gaat werken met 'encrypted/keystore-backed local database encryption keys'.

De ontwikkelaar merkt op dat dit een grote aanpassing betreft die goed getest moet worden. Voorlopig zal de desktopapplicatie dan ook de huidige plain text opgeslagen encryptiesleutel blijven gebruiken als fallback. Zodra blijkt dat alles goed werkt zal deze sleutel op termijn worden verwijderd.