自主学习丨大创项目:基于安全规约的移动应用隐私泄露检测平台

发布日期:2023-03-23

565net必赢客户端重视学生实践能力、创新思维及团队精神的培养,鼓励推动学生参与创新创业项目,推进学院拔尖创新人才的培养工作,推进“五个融合”。在2022年大学生创新创业训练计划项目(以下简称大创项目)结题答辩中,有三个项目组被评定为优秀。学院公众号特推出大创项目优秀小组系列推送,希望565net必赢客户端全体学生以此为榜样,积极参与科研训练实践。

队伍介绍

项目名称:基于安全规约的移动应用隐私泄露检测平台

image 206

▲该项目小组结题答辩现场

立项等级和项目评级:国家级,优秀

队伍名称:PCT

项目成员介绍

       袁伟乐,565net必赢客户端2020级本科生,对云计算、云服务、Web开发方向比较感兴趣。

       蔡俊雅,565net必赢客户端2020级本科生,对网络安全、人工智能方向比较感兴趣。

       龙梦怡,565net必赢客户端2020级本科生,对软件安全、人工智能、程序分析方向比较感兴趣。

       苏梓珊,565net必赢客户端2020级本科生,对隐私保护、云计算、自然语言处理方向比较感兴趣。

       温子健,计算机学院2021级本科生,对计算机视觉、机器学习、人工智能方向比较感兴趣。

队伍口号:Patient,Careful,Thinking

项目背景

近年来,受益于移动设备的广泛普及,移动应用的发展蒸蒸日上,在这一趋势下,众多功能丰富的移动应用被开发出来。

由于其特定功能的使用需要,大多数移动应用都聚集了大量用户的各种隐私数据,且使用这部分数据的手段各不相同。对于具体如何处理用户隐私数据,目前也并没有统一的规范标准及透明化可视化的过程。因此,用户在享受移动应用带来便利的同时,其隐私安全也受到了威胁。

在上述背景下,国家高度重视移动应用的用户隐私泄露问题,出台了多项相关的法律法规,对于移动应用具体如何收集、存储、使用、共享、销毁用户隐私数据做出规范。

image 217

▲国家相继出台多项法律法规整治移动应用生态

然而,目前仍然存在许多不规范使用和处理用户隐私数据的乱象,而相关监管部门的检测手段、技术与机制并不完善,监管难度较大。因此,对移动应用行为的合规性进行检测,提前自查、整改并满足合规要求,便成了亟需解决的难题。

此外,国外已有的检测工具基本都是针对英文应用及英文语法,并不适用于国内应用与中文语法体系,无法直接落地使用。而当前国内市场的检测软件绝大多数为闭源工具,且主要面向企业客户,并不适用于监管机构及个人终端用户。

因此,我们大创项目组的成员在了解上述现状后,希望能利用自己在专业课上所学知识,结合国内相关法律法规和监管要求,为移动应用用户、监管机构、测评机构和应用开发企业等建立一个基于安全规约的移动应用隐私泄露检测平台。

项目简介

我们项目组聚焦于隐私政策质量参差不齐、应用未遵守隐私政策、对应用的不安全性和危险性难以判断和监管等问题着手设计和开发移动应用隐私泄露检测平台。

通过这个平台,用户可以上传隐私政策与apk,平台将能够展示隐私政策声明获取的隐私数据项、隐私数据项流向、权限列表、第三方流向列表等分析结果。通过这些分析结果,用户可以评估该应用对隐私信息的使用情况和隐私泄露风险

项目涉及的主要技术有:自然语言处理、安卓应用反编译和源码分析、数据爬虫、Web开发等。

image-20230406155817-3

项目过程和成果

在立项之初,我们与学院指导老师南雨宏副教授进行了多次探讨交流,最终结合南老师的主要研究领域和各成员感兴趣的研究方向,确定了以移动应用隐私安全作为选题。

因为本组成员都是第一次接触安卓应用领域,当知道项目评级被确定为国家级后,我们既十分兴奋又感到担忧,担心自己是否有能力胜任学院对我们的信任,也担心能否做出令人满意的结果。但在导师专业的指导和小组成员的积极参与下,我们完成了团队间的互相磨合,找到了前进的节奏。在接下来的一年里,项目得以有条不紊地进行。

当然,项目进展过程中难免遇到种种问题。例如,在一年期限内,面对一些技术上短时间无法攻破的难点,如何平衡时间成本和项目效果。在一步步攻克难题的同时,我们也增长了开展长期科研项目的经验,在限期提交了一份自己比较满意的答卷。

导师介绍和寄语

导师介绍:南雨宏

image-20230406155817-4

南雨宏,副教授,硕士生导师。565net必赢客户端百人计划青年学术骨干,校级青年拔尖人才。曾任美国普渡大学(Purdue University)计算机系博士后研究员,普渡CERIAS访问学者。博士毕业于复旦大学。博士期间曾获国家留学基金委资助,于美国印第安纳大学布卢明顿分校(Indiana University Bloomington)进行联合培养。

目前主要研究方向为系统软件安全以及隐私保护。包括物联网平台、移动操作系统平台、区块链及智能合约漏洞检测,新型隐私泄露模式挖掘等研究。研究成果发表于USENIX Security、ACM CCS,NDSS, RAID,IEEE TIFS等系统安全领域顶级/著名会议及期刊,共计10余篇。作为科研骨干参与国家 973 计划、上海市科委、美国政府及企业资助的多项研究项目,并担任美国思科公司一项研究课题负责人(PI)。研究发现的安全及隐私问题多次获得来自Google、Facebook、Twitter、Slack、国内三大电信运营商(移动、联通、电信)等厂商的官方确认及致谢。

导师寄语

个人隐私数据使用合规性是当前业界及学术研究的热点、难点问题。国家多项政策、法规多次明确提出要构建完善数据全流程合规与监管规则体系。在此背景下,本项目选题以移动应用隐私数据合规检测为研究目标,紧密贴合生活实践中的真实问题,能够为大学本科阶段科研启蒙提供较好的引导训练。该项目成员广泛查阅整理了相关领域前沿文献,通过融合自然语言处理和程序分析技术,有效完成了自动化隐私政策文本与移动应用程序行为的匹配识别,从而判断潜在的应用违规行为。希望各位成员经过本项目训练,在逻辑思维、编程能力、团队协作等多个维度得到有效提升,并在后续的学习中取得更好的成绩。