Na blogu komunikátoru Signal vyšla analýza nástroje Cellebrite, který má sloužit k extrakci dat z mobilních zařízení pro účely bezpečnostních agentur. Ten se nedávno chlubil přidáním komunikátoru Signal mezi podporované aplikace. Jakousi podivnou shodou okolností se nástroj Cellebrite dostal do rukou vývojářům komunikátoru, kteří jej podrobili analýze.
Přestože analytický nástroj ze své podstaty pracuje s nedůvěryhodnými vstupy, úroveň jeho vlastní bezpečnosti tomu neodpovídá. Používá se například knihovnu FFmpeg z roku 2012 se stovkou známých zranitelností. Je tak možné snadno vyvolat spuštění vlastního kódu během analýzy zařízení při načtení speciálně vytvořeného souboru. Nepřekvapí pak ani přítomnost částí aplikace iTunes podepsaných od Apple, což je téměř jistě porušením licenčních podmínek Apple.
V závěru textu pak vývojáři naznačují, že budoucí verze komunikátoru Signal budou pravidelně stahovat jisté soubory a umisťovat je do uložiště aplikace. Budou stahovány pouze do účtů, které byly nějakou dobu aktivní a jen do určitého procenta klientů. Tyto soubory nebude aplikace k ničemu používat. V uložišti budou oficiálně z estetických důvodů.