必贏3003no1線路檢測(cè)中心重視學(xué)生實(shí)踐能力、創(chuàng)新思維及團(tuán)隊(duì)精神的培養(yǎng)，鼓勵(lì)推動(dòng)學(xué)生參與創(chuàng)新創(chuàng)業(yè)項(xiàng)目，推進(jìn)學(xué)院拔尖創(chuàng)新人才的培養(yǎng)工作，推進(jìn)“五個(gè)融合”。在2022年大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目（以下簡(jiǎn)稱大創(chuàng)項(xiàng)目）結(jié)題答辯中，有三個(gè)項(xiàng)目組被評(píng)定為優(yōu)秀。學(xué)院公眾號(hào)特推出大創(chuàng)項(xiàng)目?jī)?yōu)秀小組系列推送，希望必贏3003no1線路檢測(cè)中心全體學(xué)生以此為榜樣，積極參與科研訓(xùn)練實(shí)踐。

隊(duì)伍介紹

項(xiàng)目名稱：基于安全規(guī)約的移動(dòng)應(yīng)用隱私泄露檢測(cè)平臺(tái)

▲該項(xiàng)目小組結(jié)題答辯現(xiàn)場(chǎng)

立項(xiàng)等級(jí)和項(xiàng)目評(píng)級(jí)：國(guó)家級(jí)，優(yōu)秀

隊(duì)伍名稱：PCT

項(xiàng)目成員介紹

       袁偉樂(lè)，必贏3003no1線路檢測(cè)中心2020級(jí)本科生，對(duì)云計(jì)算、云服務(wù)、Web開(kāi)發(fā)方向比較感興趣。

       蔡俊雅，必贏3003no1線路檢測(cè)中心2020級(jí)本科生，對(duì)網(wǎng)絡(luò)安全、人工智能方向比較感興趣。

       龍夢(mèng)怡，必贏3003no1線路檢測(cè)中心2020級(jí)本科生，對(duì)軟件安全、人工智能、程序分析方向比較感興趣。

       蘇梓珊，必贏3003no1線路檢測(cè)中心2020級(jí)本科生，對(duì)隱私保護(hù)、云計(jì)算、自然語(yǔ)言處理方向比較感興趣。

       溫子健，計(jì)算機(jī)學(xué)院2021級(jí)本科生，對(duì)計(jì)算機(jī)視覺(jué)、機(jī)器學(xué)習(xí)、人工智能方向比較感興趣。

隊(duì)伍口號(hào)：Patient，Careful，Thinking

項(xiàng)目背景

近年來(lái)，受益于移動(dòng)設(shè)備的廣泛普及，移動(dòng)應(yīng)用的發(fā)展蒸蒸日上，在這一趨勢(shì)下，眾多功能豐富的移動(dòng)應(yīng)用被開(kāi)發(fā)出來(lái)。

由于其特定功能的使用需要，大多數(shù)移動(dòng)應(yīng)用都聚集了大量用戶的各種隱私數(shù)據(jù)，且使用這部分?jǐn)?shù)據(jù)的手段各不相同。對(duì)于具體如何處理用戶隱私數(shù)據(jù)，目前也并沒(méi)有統(tǒng)一的規(guī)范標(biāo)準(zhǔn)及透明化可視化的過(guò)程。因此，用戶在享受移動(dòng)應(yīng)用帶來(lái)便利的同時(shí)，其隱私安全也受到了威脅。

在上述背景下，國(guó)家高度重視移動(dòng)應(yīng)用的用戶隱私泄露問(wèn)題，出臺(tái)了多項(xiàng)相關(guān)的法律法規(guī)，對(duì)于移動(dòng)應(yīng)用具體如何收集、存儲(chǔ)、使用、共享、銷毀用戶隱私數(shù)據(jù)做出規(guī)范。

▲國(guó)家相繼出臺(tái)多項(xiàng)法律法規(guī)整治移動(dòng)應(yīng)用生態(tài)

然而，目前仍然存在許多不規(guī)范使用和處理用戶隱私數(shù)據(jù)的亂象，而相關(guān)監(jiān)管部門的檢測(cè)手段、技術(shù)與機(jī)制并不完善，監(jiān)管難度較大。因此，對(duì)移動(dòng)應(yīng)用行為的合規(guī)性進(jìn)行檢測(cè)，提前自查、整改并滿足合規(guī)要求，便成了亟需解決的難題。

此外，國(guó)外已有的檢測(cè)工具基本都是針對(duì)英文應(yīng)用及英文語(yǔ)法，并不適用于國(guó)內(nèi)應(yīng)用與中文語(yǔ)法體系，無(wú)法直接落地使用。而當(dāng)前國(guó)內(nèi)市場(chǎng)的檢測(cè)軟件絕大多數(shù)為閉源工具，且主要面向企業(yè)客戶，并不適用于監(jiān)管機(jī)構(gòu)及個(gè)人終端用戶。

因此，我們大創(chuàng)項(xiàng)目組的成員在了解上述現(xiàn)狀后，希望能利用自己在專業(yè)課上所學(xué)知識(shí)，結(jié)合國(guó)內(nèi)相關(guān)法律法規(guī)和監(jiān)管要求，為移動(dòng)應(yīng)用用戶、監(jiān)管機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)和應(yīng)用開(kāi)發(fā)企業(yè)等建立一個(gè)基于安全規(guī)約的移動(dòng)應(yīng)用隱私泄露檢測(cè)平臺(tái)。

項(xiàng)目簡(jiǎn)介

我們項(xiàng)目組聚焦于隱私政策質(zhì)量參差不齊、應(yīng)用未遵守隱私政策、對(duì)應(yīng)用的不安全性和危險(xiǎn)性難以判斷和監(jiān)管等問(wèn)題著手設(shè)計(jì)和開(kāi)發(fā)移動(dòng)應(yīng)用隱私泄露檢測(cè)平臺(tái)。

通過(guò)這個(gè)平臺(tái)，用戶可以上傳隱私政策與apk，平臺(tái)將能夠展示隱私政策聲明獲取的隱私數(shù)據(jù)項(xiàng)、隱私數(shù)據(jù)項(xiàng)流向、權(quán)限列表、第三方流向列表等分析結(jié)果。通過(guò)這些分析結(jié)果，用戶可以評(píng)估該應(yīng)用對(duì)隱私信息的使用情況和隱私泄露風(fēng)險(xiǎn)

項(xiàng)目涉及的主要技術(shù)有：自然語(yǔ)言處理、安卓應(yīng)用反編譯和源碼分析、數(shù)據(jù)爬蟲(chóng)、Web開(kāi)發(fā)等。

項(xiàng)目過(guò)程和成果

在立項(xiàng)之初，我們與學(xué)院指導(dǎo)老師南雨宏副教授進(jìn)行了多次探討交流，最終結(jié)合南老師的主要研究領(lǐng)域和各成員感興趣的研究方向，確定了以移動(dòng)應(yīng)用隱私安全作為選題。

因?yàn)楸窘M成員都是第一次接觸安卓應(yīng)用領(lǐng)域，當(dāng)知道項(xiàng)目評(píng)級(jí)被確定為國(guó)家級(jí)后，我們既十分興奮又感到擔(dān)憂，擔(dān)心自己是否有能力勝任學(xué)院對(duì)我們的信任，也擔(dān)心能否做出令人滿意的結(jié)果。但在導(dǎo)師專業(yè)的指導(dǎo)和小組成員的積極參與下，我們完成了團(tuán)隊(duì)間的互相磨合，找到了前進(jìn)的節(jié)奏。在接下來(lái)的一年里，項(xiàng)目得以有條不紊地進(jìn)行。

當(dāng)然，項(xiàng)目進(jìn)展過(guò)程中難免遇到種種問(wèn)題。例如，在一年期限內(nèi)，面對(duì)一些技術(shù)上短時(shí)間無(wú)法攻破的難點(diǎn)，如何平衡時(shí)間成本和項(xiàng)目效果。在一步步攻克難題的同時(shí)，我們也增長(zhǎng)了開(kāi)展長(zhǎng)期科研項(xiàng)目的經(jīng)驗(yàn)，在限期提交了一份自己比較滿意的答卷。

導(dǎo)師介紹和寄語(yǔ)

導(dǎo)師介紹：南雨宏

南雨宏，副教授，碩士生導(dǎo)師。必贏3003no1線路檢測(cè)中心百人計(jì)劃青年學(xué)術(shù)骨干，校級(jí)青年拔尖人才。曾任美國(guó)普渡大學(xué)(Purdue University)計(jì)算機(jī)系博士后研究員，普渡CERIAS訪問(wèn)學(xué)者。博士畢業(yè)于復(fù)旦大學(xué)。博士期間曾獲國(guó)家留學(xué)基金委資助，于美國(guó)印第安納大學(xué)布盧明頓分校(Indiana University Bloomington)進(jìn)行聯(lián)合培養(yǎng)。

目前主要研究方向?yàn)橄到y(tǒng)軟件安全以及隱私保護(hù)。包括物聯(lián)網(wǎng)平臺(tái)、移動(dòng)操作系統(tǒng)平臺(tái)、區(qū)塊鏈及智能合約漏洞檢測(cè)，新型隱私泄露模式挖掘等研究。研究成果發(fā)表于USENIX Security、ACM CCS，NDSS, RAID，IEEE TIFS等系統(tǒng)安全領(lǐng)域頂級(jí)/著名會(huì)議及期刊，共計(jì)10余篇。作為科研骨干參與國(guó)家 973 計(jì)劃、上海市科委、美國(guó)政府及企業(yè)資助的多項(xiàng)研究項(xiàng)目，并擔(dān)任美國(guó)思科公司一項(xiàng)研究課題負(fù)責(zé)人（PI）。研究發(fā)現(xiàn)的安全及隱私問(wèn)題多次獲得來(lái)自Google、Facebook、Twitter、Slack、國(guó)內(nèi)三大電信運(yùn)營(yíng)商（移動(dòng)、聯(lián)通、電信）等廠商的官方確認(rèn)及致謝。

導(dǎo)師寄語(yǔ)

個(gè)人隱私數(shù)據(jù)使用合規(guī)性是當(dāng)前業(yè)界及學(xué)術(shù)研究的熱點(diǎn)、難點(diǎn)問(wèn)題。國(guó)家多項(xiàng)政策、法規(guī)多次明確提出要構(gòu)建完善數(shù)據(jù)全流程合規(guī)與監(jiān)管規(guī)則體系。在此背景下，本項(xiàng)目選題以移動(dòng)應(yīng)用隱私數(shù)據(jù)合規(guī)檢測(cè)為研究目標(biāo)，緊密貼合生活實(shí)踐中的真實(shí)問(wèn)題，能夠?yàn)榇髮W(xué)本科階段科研啟蒙提供較好的引導(dǎo)訓(xùn)練。該項(xiàng)目成員廣泛查閱整理了相關(guān)領(lǐng)域前沿文獻(xiàn)，通過(guò)融合自然語(yǔ)言處理和程序分析技術(shù)，有效完成了自動(dòng)化隱私政策文本與移動(dòng)應(yīng)用程序行為的匹配識(shí)別，從而判斷潛在的應(yīng)用違規(guī)行為。希望各位成員經(jīng)過(guò)本項(xiàng)目訓(xùn)練，在邏輯思維、編程能力、團(tuán)隊(duì)協(xié)作等多個(gè)維度得到有效提升，并在后續(xù)的學(xué)習(xí)中取得更好的成績(jī)。