Безопасность любой системы всегда равна безопасности самого слабого звена. Никогда нельзя про это забывать, особенно если ты делаешь супер-защищенный мессенджер. В общем ожидаемая дырка в десктопном клиенте Signal, которая возникла из-за того, что клиент написан на веб-технологиях. И дырка классическая - XSS, отправляется сообщение в котором есть кусок javascript, который исполняется по факту отображения в клиенте. Самое ужасное, что есть прямо демо-эксплоит, который отправляет переписку пользователей на сервер злоумышленника. Срочно обновляйте клиент, если вы им пользуетесь. Мобильные клиенты в порядке, речь только о десктопе.
А ведь сколько было разговоров о супер-защищенном, криптографически выверенном протоколе. Обидно за ребят, надеюсь это станет подходящей причиной для срочной разработки десктопного клиента на нативных или условно-нативных технологиях.
seclists.org/fulldisclosure/2018
Full Disclosure: CVE-2018-11101: Signal-desktop HTML tag injection variant 2