新疆當局去年要求市民安裝一款明為「淨網衛士」的手機程式，以監控手機內是否存有「暴力恐怖」、「非法宗教」等內容。美國開放技術基金（Open Technology Fund）昨日（9日）發表研究報告，揭示程式將大量市民手機資料上傳至伺服器，傳送時沒有加密保護。他們又公布4.7萬條檔案識別碼，希望外界協助分析中國試圖審查的檔案內容。

去年7月，自由亞洲電台報道稱，新疆維吾爾自治區烏魯木齊市天山區政府發出《關於使用手機暴恐音視頻自查軟件的通知》，要求市民安裝一個名為「淨網衛士」的手機程式以作自查。該通知表明，程序可以自動定位「暴力恐怖」、「非法宗教」等視頻、相片、電子書，並讓用戶點擊刪除內容，如不及時刪除將會被依法追究責任。

該報道又指，在市民安裝程式後數日，警方隨即抓捕了十名哈薩克族婦女，並指她們在微信群討論「不該談論」的內容。報道引述消息指，被拘留的哈薩克族網民，大部分是與討論移民哈薩克斯坦國有關。

開放技術基金由美國政府資助，並隸屬於自由亞洲電台之下。基金昨日（9日）發表報告，揭發「淨網衛士」的運作模式。程式能夠取得用戶的大量資料，包括是手機IMEI 序號、型號、電話號碼及製造商。

程式又會掃描手機上的檔案，包括HTML、文字檔及圖片等。透過收集檔案的名稱、儲存路徑及「MD5 hash」，與伺服器的資料庫作對比，從而找出「危險」的檔案並提醒用戶刪除。「MD5 hash」可被視為是一種獨有的識別標籤，可以在所有的手機檔案中找得到。

報告又指出，不論手機是否有「危險」內容，「淨網衛士」都會將用戶手機內的所有檔案資料，上傳到伺服器作監控之用，且所有資料在傳送時並沒有加密保護，可以輕易被人入侵。

目前仍未知道，「淨網衛士」會將怎樣的內容視為「危險」內容，但開放技術基金就公布了4.7萬條「MD5 hash」，呼籲外界利用這批評數據，調查官方是要試圖審查怎樣的手機檔案。

負責今次調查的Adam Lynn指，市民是被政府強迫之下使用「淨網衛士」，然而程式卻沒有適當措施以保護用戶私隱：「程序在技術上欠缺安全，讓用戶輕易受中國政府以外的第三方作進一步攻擊。」

相關報道：

BuzzFeed／Motherboard