必贏3003no1線路檢測中心重視學生實踐能力、創(chuàng)新思維及團隊精神的培養(yǎng)，鼓勵推動學生參與創(chuàng)新創(chuàng)業(yè)項目，推進學院拔尖創(chuàng)新人才的培養(yǎng)工作，推進“五個融合”。在2022年大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目（以下簡稱大創(chuàng)項目）結(jié)題答辯中，有三個項目組被評定為優(yōu)秀。學院公眾號特推出大創(chuàng)項目優(yōu)秀小組系列推送，希望必贏3003no1線路檢測中心全體學生以此為榜樣，積極參與科研訓練實踐。

隊伍介紹

項目名稱：基于安全規(guī)約的移動應用隱私泄露檢測平臺

▲該項目小組結(jié)題答辯現(xiàn)場

立項等級和項目評級：國家級，優(yōu)秀

隊伍名稱：PCT

項目成員介紹

       袁偉樂，必贏3003no1線路檢測中心2020級本科生，對云計算、云服務、Web開發(fā)方向比較感興趣。

       蔡俊雅，必贏3003no1線路檢測中心2020級本科生，對網(wǎng)絡安全、人工智能方向比較感興趣。

       龍夢怡，必贏3003no1線路檢測中心2020級本科生，對軟件安全、人工智能、程序分析方向比較感興趣。

       蘇梓珊，必贏3003no1線路檢測中心2020級本科生，對隱私保護、云計算、自然語言處理方向比較感興趣。

       溫子健，計算機學院2021級本科生，對計算機視覺、機器學習、人工智能方向比較感興趣。

隊伍口號：Patient，Careful，Thinking

項目背景

近年來，受益于移動設備的廣泛普及，移動應用的發(fā)展蒸蒸日上，在這一趨勢下，眾多功能豐富的移動應用被開發(fā)出來。

由于其特定功能的使用需要，大多數(shù)移動應用都聚集了大量用戶的各種隱私數(shù)據(jù)，且使用這部分數(shù)據(jù)的手段各不相同。對于具體如何處理用戶隱私數(shù)據(jù)，目前也并沒有統(tǒng)一的規(guī)范標準及透明化可視化的過程。因此，用戶在享受移動應用帶來便利的同時，其隱私安全也受到了威脅。

在上述背景下，國家高度重視移動應用的用戶隱私泄露問題，出臺了多項相關的法律法規(guī)，對于移動應用具體如何收集、存儲、使用、共享、銷毀用戶隱私數(shù)據(jù)做出規(guī)范。

▲國家相繼出臺多項法律法規(guī)整治移動應用生態(tài)

然而，目前仍然存在許多不規(guī)范使用和處理用戶隱私數(shù)據(jù)的亂象，而相關監(jiān)管部門的檢測手段、技術(shù)與機制并不完善，監(jiān)管難度較大。因此，對移動應用行為的合規(guī)性進行檢測，提前自查、整改并滿足合規(guī)要求，便成了亟需解決的難題。

此外，國外已有的檢測工具基本都是針對英文應用及英文語法，并不適用于國內(nèi)應用與中文語法體系，無法直接落地使用。而當前國內(nèi)市場的檢測軟件絕大多數(shù)為閉源工具，且主要面向企業(yè)客戶，并不適用于監(jiān)管機構(gòu)及個人終端用戶。

因此，我們大創(chuàng)項目組的成員在了解上述現(xiàn)狀后，希望能利用自己在專業(yè)課上所學知識，結(jié)合國內(nèi)相關法律法規(guī)和監(jiān)管要求，為移動應用用戶、監(jiān)管機構(gòu)、測評機構(gòu)和應用開發(fā)企業(yè)等建立一個基于安全規(guī)約的移動應用隱私泄露檢測平臺。

項目簡介

我們項目組聚焦于隱私政策質(zhì)量參差不齊、應用未遵守隱私政策、對應用的不安全性和危險性難以判斷和監(jiān)管等問題著手設計和開發(fā)移動應用隱私泄露檢測平臺。

通過這個平臺，用戶可以上傳隱私政策與apk，平臺將能夠展示隱私政策聲明獲取的隱私數(shù)據(jù)項、隱私數(shù)據(jù)項流向、權(quán)限列表、第三方流向列表等分析結(jié)果。通過這些分析結(jié)果，用戶可以評估該應用對隱私信息的使用情況和隱私泄露風險

項目涉及的主要技術(shù)有：自然語言處理、安卓應用反編譯和源碼分析、數(shù)據(jù)爬蟲、Web開發(fā)等。

項目過程和成果

在立項之初，我們與學院指導老師南雨宏副教授進行了多次探討交流，最終結(jié)合南老師的主要研究領域和各成員感興趣的研究方向，確定了以移動應用隱私安全作為選題。

因為本組成員都是第一次接觸安卓應用領域，當知道項目評級被確定為國家級后，我們既十分興奮又感到擔憂，擔心自己是否有能力勝任學院對我們的信任，也擔心能否做出令人滿意的結(jié)果。但在導師專業(yè)的指導和小組成員的積極參與下，我們完成了團隊間的互相磨合，找到了前進的節(jié)奏。在接下來的一年里，項目得以有條不紊地進行。

當然，項目進展過程中難免遇到種種問題。例如，在一年期限內(nèi)，面對一些技術(shù)上短時間無法攻破的難點，如何平衡時間成本和項目效果。在一步步攻克難題的同時，我們也增長了開展長期科研項目的經(jīng)驗，在限期提交了一份自己比較滿意的答卷。

導師介紹和寄語

導師介紹：南雨宏

南雨宏，副教授，碩士生導師。必贏3003no1線路檢測中心百人計劃青年學術(shù)骨干，校級青年拔尖人才。曾任美國普渡大學(Purdue University)計算機系博士后研究員，普渡CERIAS訪問學者。博士畢業(yè)于復旦大學。博士期間曾獲國家留學基金委資助，于美國印第安納大學布盧明頓分校(Indiana University Bloomington)進行聯(lián)合培養(yǎng)。

目前主要研究方向為系統(tǒng)軟件安全以及隱私保護。包括物聯(lián)網(wǎng)平臺、移動操作系統(tǒng)平臺、區(qū)塊鏈及智能合約漏洞檢測，新型隱私泄露模式挖掘等研究。研究成果發(fā)表于USENIX Security、ACM CCS，NDSS, RAID，IEEE TIFS等系統(tǒng)安全領域頂級/著名會議及期刊，共計10余篇。作為科研骨干參與國家 973 計劃、上海市科委、美國政府及企業(yè)資助的多項研究項目，并擔任美國思科公司一項研究課題負責人（PI）。研究發(fā)現(xiàn)的安全及隱私問題多次獲得來自Google、Facebook、Twitter、Slack、國內(nèi)三大電信運營商（移動、聯(lián)通、電信）等廠商的官方確認及致謝。

導師寄語

個人隱私數(shù)據(jù)使用合規(guī)性是當前業(yè)界及學術(shù)研究的熱點、難點問題。國家多項政策、法規(guī)多次明確提出要構(gòu)建完善數(shù)據(jù)全流程合規(guī)與監(jiān)管規(guī)則體系。在此背景下，本項目選題以移動應用隱私數(shù)據(jù)合規(guī)檢測為研究目標，緊密貼合生活實踐中的真實問題，能夠為大學本科階段科研啟蒙提供較好的引導訓練。該項目成員廣泛查閱整理了相關領域前沿文獻，通過融合自然語言處理和程序分析技術(shù)，有效完成了自動化隱私政策文本與移動應用程序行為的匹配識別，從而判斷潛在的應用違規(guī)行為。希望各位成員經(jīng)過本項目訓練，在邏輯思維、編程能力、團隊協(xié)作等多個維度得到有效提升，并在后續(xù)的學習中取得更好的成績。