Citizen Lab ออกรายงานสำรวจแนวทางการทำงานของแอป WeChat ที่ให้บริการทั่วโลก แต่กลับใช้ข้อมูลจากผู้ใช้นอกจีนในการสร้างฐานข้อมูลไฟล์ต้องห้าม เพื่อให้ WeChat สามารถเซ็นเซอร์ข้อมูลตามเวลาจริง
รายงานอาศัยห้องแชตสองกลุ่ม กลุ่มหนึ่งเป็นห้องแชตลงทะเบียนนอกจีน (non-China group) และอีกกลุ่มลงทะเบียนในจีน จากนั้นทีมงานทดสอบส่งเอกสาร และภาพข้อความล่อแหลมต่อการเมืองจีนในกลุ่มนอกจีนโดยเป็นภาพที่สร้างขึ้นใหม่ไม่ให้ค่าแฮชตรงกับภาพในฐานข้อมูล แล้วทดลองส่งภาพเข้าไปยังบัญชีที่ลงทะเบียนในจีนเพื่อสำรวจว่าระบบแบนภาพทำงานอย่างไร
ผลการทดสอบแสดงให้เห็นว่าระบบเซ็นเซอร์ข้อมูลทำงานได้ทันที หาก WeChat เคยพบภาพแม้แต่กลุ่มนอกจีนมาก่อน แสดงให้เห็นว่ามีการตรวจสอบการส่งข้อมูลไม่ว่าจะในหรือนอกจีน โดยหากเป็นกลุ่มนอกจีนก็จะเก็บภาพเหล่านั้นไว้แม้ไม่ได้เซ็นเซอร์โดยตรงแต่ก็สร้างฐานข้อมูลค่าแฮชเพื่อนำไปเซ็นเซอร์ในจีน
การเซ็นเซอร์ตามเวลาจริงอาศัยค่าแฮชแบบ MD5 ที่อ่อนแอ ทาง Citizen Lab ทดลองสร้างภาพที่จีนอ่อนไหวให้ค่าแฮชตรงกับภาพธรรมดา จากนั้นส่งภาพที่จีนอ่อนไหวเข้ากลุ่มแชตนอกจีน แล้วทดสอบส่งภาพธรรมดาเข้าไปยังกลุ่มจีน พบว่าภาพที่ส่งเข้าจีนทั้งหมดถูกเซ็นเซอร์ทันที และนอกจากนั้นทีมงานพบว่าการเซ็นเซอร์ด้วยค่าแฮชนี้ยังทำงานอยู่ แม้ภาพจะส่งผ่านแชตไปเป็นเวลาสั้นๆ และลบออกทันทีก็ตาม
ช่วงท้ายของการทดสอบนี้ นักวิจัยยื่นขอข้อมูลส่วนบุคคลตามกฎหมายไปยัง Tencent เพื่อขอดาวน์โหลดข้อมูล หลังกจากยื่นขอดาวน์โหลดข้อมูลแล้ว ข้อมูลที่ดาวน์โหลดได้ไม่พบว่ามีค่าแฮช MD5 ของภาพที่ทีมงานอัพโหลดเข้าไปอยู่ในข้อมูลที่เปิดเผยว่าเก็บไปแต่อย่างใด
ที่มา - Citizen Lab