Tu so snovalci Signala aplikacijo zgradili na platformi Electron, kar je sicer dobrodošlo z vidika hitrosti razvoja, saj pod eno streho združuje spletni strežnik, javascript in brskalnik. Manj zaželeno pa je to z varnostnega vidika, saj je v njej resna luknja. V resnici kar dve, saj so minuli teden najprej odkrili prvo luknjo zaradi vrivanja vode (XSS), le malo kasneje pa še drugo.
Če napadalec žrtvi pošlje primerno oblikovano sporočilo s HTML-kodo in žrtev nanj odgovori, se koda izvede. V njej pa je lahko kaj zločestega. Težava je v tem, da Signal vsebine sporočil ne počisti ustrezno. Luknja je v funkciji, ki obravnava povezave v sporočilih, kar omogoča vrivanje HTML/JavaScripta z elementi iFrame, image, video in audio. Raziskovalci so pokazali, da je mogoče pripraviti škodljivo kodo, ki ukrade zgodovino pogovorov ali gesla za Windows. Zanimivo je, da so prejšnje različice imele mehanizem za preverjanje URL-naslovov (funkcijo regex), a je iz novega Signala 10 nekako izpadel. Najnovejša inačica ima varnostni ranljivosti že zakrpani.
