Aplikacje, które służą bezpiecznej komunikacji bądź przechowywaniu poufnych danych powinny same być zabezpieczone na najwyższym poziomie, np. przejść rygorystyczny audyt bezpieczeństwa.
Przykład popularnego komunikatora Signal Private Messenger pokazuje, że jednak nie zawsze ma to miejsce. W ostatnich dniach opublikowano informację i potwierdzający ją film dotyczące możliwości zdalnego wykonania kodu w aplikacji klienckiej komunikatora (na szczęście dotyczy to klientów desktopowych a nie telefonicznych).
Odkrywca błędu, Alfredo Ortega, zademonstrował zdalne wykonanie kodu JavaScript w kliencie Signal (tzw. XSS), które może prowadzić do wykonania natywnego kodu w komputerze ofiary (prawdopodobnie wykorzystując też inny błąd umożliwiający nadpisanie sterty). Jak mogło dojść do sytuacji, że aplikacja polecana (więc zapewne w jakimś stopniu zweryfikowana) przez słynnego badacza bezpieczeństwa prof. Bruce’a Schneiera czy równie znanego Edwarda Snowdena okazała się tak dziurawa?
Błąd został wprowadzony wraz z jedną z ostatnich wersji programu – najprawdopodobniej zabrakło tu więc cyklicznej (a nie jednorazowej) weryfikacji jej kodu źródłowego, która powinna być wpisana w proces inżynierii oprogramowania.