เมื่อเดือนที่แล้ว Chris Vickery นักวิจัยด้านความปลอดภัยออกมาแจ้งเตือนว่าฐานข้อมูล World-Check ของรอยเตอร์หลุดออกมา แต่ไม่มีการเปิดเผยข้อมูลสู่สาธารณะ ล่าสุด The Register ก็รายงานว่ามีผู้เสนอขายฐานข้อมูลนี้อยู่ในบอร์ดใต้ดินแล้ว ที่ราคา 10BTC หรือกว่าสองแสนบาท

ผู้ใช้บอร์ดนี้ใช้ชื่อเรียกตัวเองว่า Bestbuy มีประวัติการขายไม่มากนักทำให้อาจจะเป็นเพียงโจรหลอกลวงเท่านั้น แต่สินค้าที่เขาเสนอขายเป็นฐานข้อมูล ทั้งฐานข้อมูลของ LinkedIn (1.2BTC) และ World-Check รวมถึงช่องโหว่ของ Microsoft Office ที่ยังไม่เปิดเผย

ใบรับรองที่ออกโดย Let's Encrypt ถูก cross-sign โดย IdenTrust แม้ว่าเบราว์เซอร์จะรองรับแทบทั้งหมด แต่ไลบรารีบางส่วนก็ยังอัพเดตไม่ทัน ล่าสุดฝั่งจาวาก็อัพเดต 8u101 รองรับ IdenTrust แล้ว ทำให้การเชื่อมต่อ HTTPS ไปยังเซิร์ฟเวอร์ที่ใช้งาน Let's Encrypt รองรับโดยสมบูรณ์

ออราเคิลเพิ่มใบรับรองของ IdenTrust เข้าในฐานข้อมูลหลายตัว แต่ตัวที่ใช้ cross-sign กับ Let's Encrypt คือ IdenTrust DST Root CA X3

ที่มา - Oracle

EnterpriseDB (EDB) หรือรุ่นการค้าของ PostgreSQL ผ่านมาตรฐาน Security Technical Implementation Guide (STIG) ของกระทรวงกลาโหมสหรัฐฯ เป็นแบรนด์ที่สาม ตามหลัง Oracle และ Microsoft SQL Server และนับเป็นระบบฐานข้อมูลโอเพนซอร์สตัวแรกที่ผ่านมาตรฐานนี้

มาตรฐาน STIG กำหนดเงื่อนไขกว่าร้อยรายการ แต่รายการตรวจสอบเป็นข้อมูลเฉพาะสำหรับเจ้าหน้าที่เท่านั้นไม่เปิดเผยสำหรับบุคคลทั่วไป เอกสารแนะนำ STIG ระบุเพียงเงื่อนไขกว้างๆ เช่น ต้องรองรับการตรวจสอบย้อนกลับ (audit), มีระบบสำรองข้อมูล, มีกระบวนการป้องกันข้อมูล, เข้ารหัสข้อมูลทั้งขณะส่งข้อมูลและขณะที่ข้อมูลอยู่ในดิสก์ ฯลฯ

การจัดสรรคลื่นความถี่สำหรับการสื่อสารไร้สายเพิ่มขึ้นเรื่อยๆ เป็นแนวทางที่หน่วยงานจัดสรรคลื่นความถี่ทำกันทั่วโลก ตอนนี้สหรัฐฯ ก็เริ่มโยกคลื่นก้อนสำคัญคือคลื่น 600MHz จากโทรทัศน์มาเตรียมประมูลเป็นคลื่นโทรคมนาคมแล้ว โดยประกาศผู้ผ่านเกณฑ์เข้าร่วมประมูลทั้งหมด 62 ราย

ในบรรดาบริษัทที่เข้าร่วม ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายหลักๆ ล้วนเข้าร่วมกันถ้วนหน้า เช่น Verizon, AT&T, T-Mobile ยกเว้นเพียงรายเดียวคือ Sprint ส่วนบริษัทอินเทอร์เน็ตอย่าง Comcast ก็ส่งบริษัทลูกมาเช่นเดียวกับ Dish Network

ช่องโหว่ HTTPOXY อาศัยการอิมพลีเมนต์เซิร์ฟเวอร์ CGI หลายตัวที่รับค่า Proxy จาก HTTP header เมื่อเซิร์ฟเวอร์เหล่านี้กำลัง ดาวน์โหลด ข้อมูลผ่าน HTTP เมื่อได้รับค่า Proxy มาแล้วกลับตั้งค่าเป็น environment variable ในชื่อ HTTP_PROXY ทำให้การดาวน์โหลดครั้งอื่นๆ จะถูกส่งไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ทันที

โครงการ Drupal จัดช่องโหว่นี้เป็นช่องโหว่ "วิกฤติระดับสูง" (highly critical) เพราะสามารถโจมตีได้โดยง่าย และหลังจากโจมตีแล้วเซิร์ฟเวอร์ของแฮกเกอร์สามารถดักการดาวน์โหลดจากเซิร์ฟเวอร์ที่ตกเป็นเหยื่อได้ทั้งหมด

คดีแฮกเกอร์ติดตั้งมัลแวร์ในตู้เอทีเอ็มไต้หวันมีความคืบหน้า เมื่อตำรวจไต้หวันจับกุมผู้ต้องสงสัยสามคนแรก หลังจากตำรวจไทเปนายหนึ่งที่กำลังพักผ่อนพบผู้ต้องสงสัยชาวลัตเวียในร้านอาหารในมณฑลอี้หลาน ส่วนผู้ต้องสงสัยชาวโรมาเนียอีกสองคนถูกจับในไทเป พร้อมกับพบเงิน 50 ล้านดอลลาร์ไต้หวันในโรงแรม จากเงินที่ถูกขโมยไปทั้งหมด 80 ล้านดอลลาร์ไต้หวัน

ตำรวจระบุว่านี่เป็นครั้งแรกที่กลุ่มอาชญากรรมข้ามชาติมาก่อเหตุกับระบบเอทีเอ็มในไต้หวัน โดยกลุ่มอาชญากรใช้มัลแวร์สามตัวเพื่อกระตุ้นให้เครื่องเอทีเอ็มจ่ายเงิน มัลแวร์กระทบตู้เอทีเอ็มที่ผลิตโดย Wincor Nixdorf กว่าพันตู้

เมืองไทยอินเทอร์เน็ตแบบไฟเบอร์ออฟติกส์เริ่มได้รับความนิยมอย่างสูงในไม่กี่ปีที่ผ่านมา แต่ต้นกำเนิดการสื่อสารผ่านสายไฟเบอร์ออฟติกส์นั้นเพิ่งเริ่มมาเมื่อ 50 ปีที่แล้วเท่านั้น โดยงานวิจัย "Dielectric-fibre surface waveguides for optical frequencies" ตีพิมพ์ในวารสาร Proceedings of the Institution of Electrical Engineers เมื่อเดือนกรกฎาคม 1966 เป็นจุดกำเนิดของการใช้สายไฟเบอร์ออฟติกส์เพื่อการสื่อสาร

การหลอกถามข้อมูลรหัสผ่านธนาคารก่อนหน้านี้มักอาศัยการส่งอีเมล phishing ไปยังลูกค้าธนาคารเป็นส่วนใหญ่ แต่เดือนนี้ลูกค้าธนาคาร OCBC ในสิงคโปร์ก็ถูกโทรศัพท์ลึกลับจากนอกประเทศโทรหลอกถามข้อมูลมากกว่าพันรายแล้ว

ลูกค้าของ OCBC ได้รับโทรศัพท์โดยบางครั้งก็ไม่แสดงหมายเลขต้นทาง แต่บางครั้งก็แสดงเป็นหมายเลขของ OCBC จริงๆ เมื่อรับสายจะเป็นระบบอัตโนมัติให้กดหมายเลข จากนั้นจึงโอนสายเข้าไปยังคอลเซ็นเตอร์เพื่อหลอกถามข้อมูลส่วนตัวต่างๆ รวมถึงหมายเลขรหัสผ่าน

การหลอกลวงเช่นนี้มีอยู่เรื่อยๆ มานานหลายเดือน แต่เฉพาะครึ่งเดือนนี้รายงานเพิ่มสูงขึ้นอย่างมากถึง 1,081 รายเทียบกับ 16 รายตลอดเดือนเมษายนที่ผ่านมา

ทาง OCBC แนะนำลูกค้าว่าหากไม่แน่ใจให้ตัดสายและโทรกลับไปยัง OCBC ด้วยตัวเอง

FIS ผู้ให้บริการเทคโนโลยีการเงินรายใหญ่ประกาศความร่วมมือกับ PAI ผู้ให้บริการตู้เอทีเอ็มกว่า 70,000 ตู้ในสหรัฐ เตรียมให้บริการถอนเงินสดโดยไม่ต้องเสียบบัตรใดๆ อีก ลูกค้าเพียง แต่ยืนยันตัวตนด้วย TouchID เท่านั้น

ลูกค้าต้องใช้ FIS Mobile Banking ที่ธนาคารต่างๆ นำไปให้ลูกค้าใช้ในชื่อแบรนด์ของธนาคารเองเพื่อใช้บริการนี้ โดย FIS เปิดบริการ Cardless Cash มาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้ฝั่งตู้เอทีเอ็มก็พร้อมให้บริการแล้ว หากธนาคารรองรับก็จะครบวงจร

ESP8285 ที่มีรอมในตัวขนาด 1MB ทำให้ลดขนาดโมดูลลงเล็กกว่าเดิมเปิดตัวไปตั้งแต่ต้นปี และเพิ่งมีขายปลีกไม่นานนัก ตอนนี้ก็เริ่มมีโมดูลราคาถูกสมชื่อชิปตระกูล ESP ออกมาแล้วที่ราคาเพียง 1.99 ดอลลาร์

โมดูล PSF-A85 มีขนาดเพียง 13.7 x 13.4 ตารางมิลลิเมตร มีเสาอากาศในตัวโมดูลเอง พร้อมกับต่อเสาอากาศภายนอกได้ผ่านช่อง IPEX

ตัวโมดูลวางขายอยู่ที่เว็บ ITEAD แต่ขายหมดไปอย่างรวดเร็ว ต้องรอล็อตต่อไปเดือนสิงหาคม

ที่มา - CNX Software

Eben Upton ผู้ก่อตั้ง Raspberry Pi Foundation ให้สัมภาษณ์กับสำนักข่าว IDG ระบุว่าตอนนี้มูลนิธิกำลังออกแบบ Compute Module ที่เป็น Raspberry Pi รุ่นแรกส่วน I/O ออกจากส่วนซีพียู เป็นรุ่นใหม่ โดยอัพเกรดซีพียูขึ้นมาเป็น 64 บิตระดับเดียวกับ Raspberry Pi 3

Compute Module รุ่นแรกใช้ชิปแบบเดียวกับ Raspberry Pi รุ่นแรก และวางตลาดมาสองปีแล้ว โดยตัวโมดูลหลักราคา 24 ดอลลาร์ และเมื่อรวม Compute Module Development Kit ที่เป็นบอร์ด I/O ภายนอกราคาจะอยู่ที่ประมาณ 48 ดอลลาร์ เชื่อมต่อกับซีพียูด้วยสล็อตแบบ SODIMM อย่างไรก็ดี บอร์ดรุ่นใหม่จะไม่มี Wi-Fi เหมือน Raspberry Pi 3

คาดว่าจะเริ่มวางขาย Compute Module ได้ภายในไตรมาสสามปีนี้

Ubuntu Forums ถูกแฮกจากช่องโหว่ในส่วนเสริม Forumrunner ที่ยังไม่ได้แพตช์ช่องโหว่ ทำให้แฮกเกอร์เข้าถึงฐานข้อมูลได้ จากการตรวจสอบ ทาง Canonical เชื่อว่าแฮกเกอร์เข้าถึงเฉพาะตาราง user เท่านั้น โดยดาวน์โหลดข้อมูลออกไปสองล้านรายการ

ข้อมูลที่หลุดออกไปได้แก่ ชื่อผู้ใช้, อีเมล, หมายเลขไอพีของผู้ใช้ อย่างไรก็ดีไม่มีรหัสผ่านหลุดออกไป โดย Ubuntu Forums เก็บข้อมูลล็อกอินเป็นตัวเลขสุ่มสำหรับการทำ single sign-on กับเว็บอื่นๆ แฮกเกอร์ดาวน์โหลดตัวเลขเหล่านี้ที่แฮชแล้วไป

Huaxintong Semiconductor Technology ที่เป็นบริษัทร่วมทุนระหว่าง Qualcomm และมณฑลกุ้ยโจวของจีน ประกาศซื้อสิทธิ์การผลิตซีพียู ARMv8-A สถาปัตยกรรม 64 บิตจาก ARM เพื่อผลิตซีพียูสำหรับเซิร์ฟเวอร์

ความพยายามของ Qualcomm ที่จะผลิตซีพียูสำหรับเซิร์ฟเวอร์มีข่าวมาตั้งแต่ปีที่แล้ว และเมื่อต้นปีจึงประกาศบริษัทในจีนที่จับตลาดจีนเป็นหลัก ตอนนี้บริษัทใหม่ก็ซื้อสิทธิ์ ARMv8-A สถาปัตยกรรมเดียวกับที่ Qualcomm เคยโชว์ซีพียูสำหรับเซิร์ฟเวอร์ตัวต้นแบบ

ปัญหาความปลอดภัยของระบบคอมพิวเตอร์ในรถร้ายแรงขึ้นเรื่อยๆ ในช่วงหลัง ตอนนี้ผู้ผลิตรถยนต์อันดับเจ็ดของโลกอย่าง Fiat Chrysler (FCA) ก็เปิดโครงการรวมกับเว็บ Bugcrowd

โครงการนี้เกิดขึ้นเกือบหนึ่งปีหลังจากรถยนต์ของ FCA เองมีช่องโหว่ร้ายแรงจนกระทั่งแฮกเกอร์สามารถเข้าควบคุมรถจากระยะไกล และบริษัทต้องอัพเดตรถจำนวน 1.4 ล้านคัน

FCA เป็นบริษัทรถยนต์บริษัทที่สองที่เปิดโครงการกับ Bugcrowd ตามหลัง Tesla ที่เปิดโครงการตั้งแต่ต้นปี โดยบั๊กของ FCA มีเงินรางวัล 150 ถึง 1,500 ดอลลาร์ เทียบกับ Tesla ที่มีเงินรางวัล 100 ถึง 10,000 ดอลลาร์

กรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐฯ (US Securities and Exchange Commission - SEC) สั่งปรับ Citigroup เป็นเงิน 7 ล้านดอลลาร์หลังจากพบว่าธนาคารส่งรายงานการซื้อขายไม่ครบถ้วนตั้งแต่ปี 1999 ไปจนถึงปี 2014

สาเหตุของความผิดพลาดเนื่องจากระบบการออกรายงานที่เขียนในช่วงปี 1995 มีการกรองหมายเลขสาขา 089 ถึง 100 ออกไป เนื่องจากเลขสาขาเหล่านี้เป็นสาขาปลอมที่สร้างขึ้นเพื่อทดสอบระบบ โค้ดนี้รันต่อเนื่องมาโดยตลอดและทาง Citigroup สร้างสาขาใหม่ๆ เป็นหมายเลขที่มีตัวอักษรได้ด้วย เช่น 10B, 10C ปรากฏว่าโค้ดเดิมกลับกรองสาขาเหล่านี้ออกไปด้วย ทำให้รายงานจากสาขาเหล่านั้นไม่ถูกส่งไปยัง SEC

ตลอดระยะเวลาที่บั๊กนี้มีผล ทำให้ SEC ไม่ได้รับรายงานการซื้อขาย 26,810 รายการ จากการขอข้อมูล 2,300 ครั้ง

SiFive ผู้พัฒนาซีพียูออกซีพียูโอเพนซอร์สสองรุ่นบนสถาปัตยกรรมชุดคำสั่ง RISC-V ทั้งสองรุ่นได้แก่

Freedom U500 ซีพียู 64 บิตรองรับการทำงานแบบมัลติคอร์ เชื่อมต่อความเร็วสูง PCIe 3.0, USB 3.0, แลนกิกะบิต, DDR3/4 ผลิตด้วยเทคโนโลยี 28 นาโนเมตร ตัว U500 จะสามารถพัฒนาบนบอร์ด FPGA อย่าง Xilinx Vertex-7 หรือ Microsemi SF2+ ได้ ราคาบอร์ดเริ่มที่ 125 ดอลลาร์ รองรับลินุกซ์

Freedom E300 ซีพียู 32 บิตขนาดเล็กสำหรับอุปกรณ์ IoT ผลิตด้วยเทคโลยี 180 นาโนเมตร มีหน่วยความจำแฟลชและแรมในตัว การพัฒนาใช้บอร์ด Digilent Arty ราคาบอร์ด 99 ดอลลาร์ รองรับ FreeRTOS

ทีมงานความปลอดภัยของ Drupal ออกประกาศแจ้งเตือนว่ามีช่องโหว่ในโมดูลหลายตัวของ Drupal 7 มีช่องโหว่ระดับวิกฤติขั้นสูง (highly critical) เปิดช่องให้แฮกเกอร์สามารถรันโค้ด PHP บนเครื่องของเหยื่อได้ ผู้ดูแลระบบควรเตรียมอัพเดตโดย Drupal จะปล่อยอัพเดตคืนนี้ห้าทุ่มตรง ตามเวลาประเทศไทย

ประกาศไม่ได้บอกรายชื่อโมดูลที่ได้รับผลกระทบ แต่ระบุว่าโมดูลเหล่านี้มีเว็บไซต์ติดตั้งอยู่ 1,000 ถึง 10,000 ไซต์ แสดงว่าได้รับความนิยมสูงพอสมควร

ประกาศระดับนี้จาก Drupal มีไม่บ่อยนัก ปี 2015 ทั้งปีมีการประกาศช่องโหว่ระดับวิกฤติเพียงครั้งเดียว และการประกาศระดับวิกฤติขั้นสูงครั้งสุดท้ายคือปี 2014

คืนนี้ผู้ดูแล Drupal ควรเตรียมประจำการกันได้ครับ

บอร์ดคอมพิวเตอร์จีนอย่าง Banana Pi ประกาศรุ่นอัพเกรดล่าสุดเป็น BPI-M64 ใช้ชิป Allwinner A64 ที่คอร์เป็น Cortex A53 สี่คอร์

สเปครวมๆ ของ BPI-M64 ค่อนข้างครบ แรม 2GB หน่วยความจำแฟลช 8GB พอร์ตแลนกิกะบิต, พอร์ต HDMI, MIPI DSI/CSI, Wi-Fi, Bluetooth (ผมมองไม่เห็นสายอากาศบนบอร์ด อาจจะต้องต่อสายอากาศภายนอกอย่างเดียว), ไมโครโฟน, พอร์ดหูฟัง, อินฟราเรด, ช่องต่อแบตเตอรี่ลิเทียม

บอร์ดยังไม่วางขาย แต่ตัวแทนบริษัทบอกกับ CNX Software ว่าราคาจะอยู่ราวๆ 35 ดอลลาร์

ที่มา - CNX Software

ไมโครซอฟท์ประกาศเปิดบริการแบบจ่ายรายเดือนสำหรับ Windows 10 และ Surface

Windows 10 Enterprise E3 for CSP จะขายผ่าน Cloud Service Provider (CSP) ที่ราคาเดือนละ 7 ดอลลาร์ ทำให้ CSP ของไมโครซอฟท์สามารถดูแลซอฟต์แวร์ทั้งชุด ตั้งแต่ Windows 10, Office 365, Dynamics, และ CRM ลูกค้าองค์กรสามารถเช่าใช้งานได้ทั้งหมด

อีกชิ้นคือโครงการ Surface as a Service ที่เปิดให้ CSP ที่ขาย Surface อยู่แล้วสามารถนำเสนอการเช่าใช้ Surface เพิ่มเติม เพื่อให้เครื่องได้รับการอัพเกรดตามรอบตลอดเวลา โดยโครงการนี้ไม่ได้เปิดเผยค่าใช้จ่ายแต่อย่างใด

First Bank ธนาคารขนาดใหญ่ในไต้หวันประกาศหยุดตู้เอทีเอ็ม 300 ตู้หลังจากถูกคนร้ายโจมตีนำเงินออกไปได้ถึง 70 ล้านดอลลาร์ไต้หวัน (ประมาณ 80 ล้านบาท) โดยตอนนี้ตำรวจมีภาพผู้ต้องสงสัยชาวรัสเซียสามคนที่ถอนเงินออกไปจากเอทีเอ็มจำนวนมาก จากตู้เอทีเอ็ม 34 ตู้ใน 20 สาขาบริเวณไทเปและไทจง

โฆษกธนาคารเชื่อว่าตู้เอทีเอ็มถูกติดตั้งมัลแวร์เพื่อบังคับให้เครื่องจ่ายธนบัตรอัตโนมัติ อย่างไรก็ดีธนาคารยืนยันว่าเงินที่ถูกขโมยไปไม่กระทบกับบัญชีลูกค้าแต่อย่างใด ทางด้านตำรวจเชื่อว่ามีคนในธนาคารร่วมมือในการติดตั้งมัลแวร์

คนร้ายที่ถูกจับภาพจากกล้องวงจรปิดไว้ได้สามคน เชื่อว่าสองคนเดินทางออกจากไต้หวันไปแล้ว

พร้อมโอนเงิน PromptPay กำลังจะเปิดลงทะเบียนเป็นทางการวันที่ 15 นี้ และจะเปิดโอนปลายเดือนตุลาคมนี้ ตอนนี้ก็เริ่มมีข้อสงสัยถึงความปลอดภัยและความเป็นส่วนตัวในระบบการโอนเงินใหม่นี้ เช่น บทความในผู้จัดการรายวัน และข่าวในเดอะเนชั่น ผมเองก็ตั้งข้อสังเกตไว้สามประเด็นหลัก ในบล็อกของผมเอง ได้แก่ ความเป็นส่วนตัวของหมายเลขโทรศัพท์, อันตรายในกรณีที่หมายเลขโทรศัพท์ถูกขโมย, และกระบวนการเมื่อหมายเลขโทรศัพท์เปลี่ยนเจ้าของ

ดัชนีความนิยมภาษาเขียนโปรแกรม TIOBE แสดงความนิยมในเดือนกรกฎาคม แม้ว่าความเปลี่ยนแปลงจะไม่มากนัก แต่สิ่งที่น่าสนใจคือภาษาแอสเซมบลีกลับขึ้นมาเป็นอันดับสิบ

ภาษาแอสเซมบลีขึ้นไปอันดับสูงสุดคืออันดับ 9 เมื่อเดือนมกราคมที่ผ่านมา หลังจากเรตติ้งความนิยมเพิ่มเกิน 2% เป็นครั้งแรกในรอบ 5 ปี แต่ความนิยมของภาษาโดยรวมก็เพิ่มขึ้นอย่างมากตั้งแต่ปี 2015 เป็นต้นมา

ประธานาธิบดีวลาดิเมียร์ ปูติน แห่งรัสเซียสั่ง Federal Security Service (FSB) ให้สร้างโค้ดที่จะถอดรหัสข้อความได้ทั้งหมดภายในสองสัปดาห์ข้างหน้า หลังจากรัสเซียเพิ่งผ่านกฎหมายต่อต้านการก่อการร้ายออกมา

กฎหมายใหม่ของรัสเซียบังคับให้ผู้ให้บริการข้อมูล เช่น เว็บไซต์ต่างๆ หรือบริการส่งข้อความ SMS ต้องสำเนาข้อมูลเก็บเอาไว้ทั้งหมดอย่างน้อยหกเดือน และเก็บรักษาข้อมูล metadata เอาไว้อีกสามปี หากข้อมูลมีการเข้ารหัส ต้องส่งข้อมูลที่จำเป็นต่อการถอดรหัสให้กับรัฐบาล

นอกจากการเก็บและส่งข้อมูลให้รัฐบาลแล้ว กฎหมายยังเปิดช่องให้ FSB สามารถสร้างโค้ดสำหรับการเข้ารหัสแบบพิเศษ ให้ผู้ให้บริการนำไปใช้ เพื่อที่ FSB จะสามารถถอดรหัสได้เมื่อต้องการ

หลังจาก Chrome เตรียมจะแจ้งเตือนผู้ใช้ว่ากำลังเข้าเว็บที่รับรองโดย CA ที่ติดตั้งเองในเครื่อง ทางทีมแอนดรอยด์ก็ออกมาแจ้งเตือนผู้ใช้ว่า Android 7.0 Nougat จะบังคับเรื่อง CA ในเครื่องมากกว่าเดิม คือค่าเริ่มต้นจะไม่ยอมรับ CA ที่ติดตั้งเองในเครื่องอีกแล้ว แต่ยังมีผลเฉพาะแอปที่ตั้ง API level 24 (Nougat) เท่านั้น

การติดตั้ง CA ในเครื่องลูกข่ายหลายครั้งจำเป็นสำหรับการพัฒนาแอป หรือแอปบางส่วนก็ต้องการยอมตามนโยบายองค์กรที่เปิดให้แอปถูกดักฟังโดยระบบขององค์กรได้ กรณีเช่นนี้บน Android Nougat นักพัฒนาจำเป็นต้องยอมรับอย่างชัดเจน โดยสามารถคอนฟิกได้อย่างละเอียด เช่น ยอมรับ CA ที่ติดตั้งเองในบางโดเมน, ยอมรับ CA เฉพาะใบสำหรับการดีบั๊ก

Facebook Messenger เตรียมทดสอบโหมดเข้ารหัสปลายทางถึงปลายทาง (end-to-end) โดยใช้โปรโตคอลของ Open Whisper System เรียกว่า Secret Conversations สามารถกำหนดระยะเวลาก่อนข้อความจะหายไปได้

ข้อความใน Secret Conversations สามารถตั้งเวลาลบข้อความได้ การแชตข้อความลับจะรองรับเฉพาะข้อความปกติเท่านั้น ไม่รองรับภาพเคลื่อนไหว, วิดีโอ, หรือฟีเจอร์อื่น (น่าสนใจว่าเฟซบุ๊กพูดข้ามภาพถ่ายปกติไป โดยไม่ระบุว่าสามารถส่งแบบลับได้หรือไม่) ข้อจำกัดอีกอย่างหนึ่งคือข้อความลับจะสามารถอ่านได้บนอุปกรณ์เดียวเท่านั้น