<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Aug 25, 2020 at 8:02 AM Stephan Neuhaus <<a href="mailto:stephan.neuhaus@zhaw.ch">stephan.neuhaus@zhaw.ch</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 8/24/20 6:38 PM, Phillip Hallam-Baker wrote:<br>
> Telegram and Signal have the same issue with the possibility of downloading<br>
> a poisoned update. Signal in particular demands weekly updates.<br>
<br>
And if it doesn't get them (for example if, like me, you don't have a <br>
Google account and compile Signal from source[1]), it will run for about <br>
a month (I didn't check the exact period). And then it will count down <br>
about 10 days before it gives up the ghost. So the "demands weekly" <br>
update is in fact more of a "must-have monthly" update.<br>
<br>
I have sympathy for the Signal developers. If there is a flaw in the <br>
software, they need to push updates, and push them fast. On the other <br>
hand, this makes it possible, under certain circumstances, to quickly <br>
push poisoned updates to targeted users. There is no good middle ground <br>
if you don't want to market yourself as a niche product. You're screwed <br>
either way.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">I don't see additional functionality between updates. If they are having to make updates that frequently just to patch security holes, something is wrong.</div><br></div><div> </div></div></div>