CN105184161B

CN105184161B - 一种针对混合模式移动应用的检测方法及装置

Info

Publication number: CN105184161B
Application number: CN201510489679.XA
Authority: CN
Inventors: 肖喜; 张少峰; 李清; 胡光武; 夏树涛; 江勇
Original assignee: Shenzhen Graduate School Tsinghua University
Current assignee: Shenzhen Graduate School Tsinghua University
Priority date: 2015-08-11
Filing date: 2015-08-11
Publication date: 2017-11-07
Anticipated expiration: 2035-08-11
Also published as: CN105184161A

Abstract

本发明公开了一种针对混合模式移动应用的检测方法及装置，检测方法对待检测的混合模式移动应用进行如下处理：1)计算：计算所述混合模式移动应用的反映控件透明度的透明度信息U，以及反映各个界面之间控件相互覆盖程度的覆盖度信息C；2)确定权重系数：确定透明度信息的权重系数w_U和覆盖度信息的权重信息w_c；3)计算所述混合模式移动应用的综合威胁度；4)判断所述综合威胁度TH是否大于设定阈值，如果是，则判断所述混合模式移动应用为有触摸劫持风险的移动应用；如果否，则判断所述混合模式移动应用为正常的移动应用。本发明的检测方法，可准确判断APP是否易受到触摸劫持攻击，且采用静态分析的方法检测判断，无需消耗系统开销。

Description

一种针对混合模式移动应用的检测方法及装置

【技术领域】

本发明涉及本地存储方法，特别是涉及一种针对混合模式移动应用的检测方法及装置。

【背景技术】

随着移动互联网的发展，越来越多的人在手机上进行传统的互联网活动，例如看视频，支付，购物，登陆社交网站等。智能手机在我们的日常生活中越来越占有重要的地位，也越来越丰富和方便了我们的生活。这些原因使得智能手机的安全问题越来越需要引起关注。触摸劫持攻击就是智能手机安全问题中的一种，触摸劫持攻击通过在视觉上进行混淆来对用户的触摸动作进行劫持从而窃取到用户的敏感信息。

触摸劫持攻击是由传统PC端的点击劫持攻击发展过来的。点击劫持攻击是在PC端的一种利用视觉上的欺骗手段来进行攻击的方法。例如攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。或者在一个网页的输入框上覆盖一个输入框，当用户输入账号和密码的时候，用户以为是在网页中输入的信息，实际上是在恶意的输入框中输入的，造成了信息的泄露。

攻击者可以利用这种攻击方法窃取到用户的敏感信息，如支付宝账号，密码，社交网站的账号，密码。实现一些恶意的行为，造成巨大的损失，例如使用户向攻击者的账号转账。触摸劫持攻击在实现攻击的原理上与点击劫持攻击很类似，但是由于PC平台和智能手机平台的不同。移动端的屏幕较小，而一般PC端的屏幕比较大，触摸劫持攻击和点击劫持攻击在具体实现的方法上也有较大不同，所以对智能手机端的触摸劫持攻击的检测需要采用新的方法来实现。

Hybrid App(混合模式移动应用)是指介于Web App和Native App这两者之间的App。兼具了Web App和Native App两者的优势，Hybrid app同时采用html语言和java语言进行开发，具有很好的跨平台的优势，Hybrid app必然会越来越多的被开发者所采用，比如一些主流的移动应用都是基于Hybrid App开发的，国外的Facebook、国内的百度搜索。同时Hybrid App分别和Native App和Web App有较大的不同，Hybrid App可以分为Native层和Web层，Native层主要用java语言实现，Web层主要使用HTML5实现。而Native App主要由java代码实现。由于Hybrid App的这些特点，Hybrid App中Native和Web端的界面或控件可能会产生交叉覆盖，触摸劫持攻击可能会同时涉及到Native层和Web层。Hybrid App和WebApp也有些不同，Hybrid App会涉及到本地资源的访问，例如打电话，发短信，读取联系人等，而传统的浏览器由于浏览器的沙盒特性不能实现这些功能。所以Hybrid App上的触摸劫持攻击的危害更加严重。Web App仅在Web端受到触摸劫持攻击，只是出现Web端控件之间的覆盖，而Hybrid App中Native和Web端的界面或控件可能会产生交叉覆盖。

由于Hybrid App是新生产物，针对Hybrid App的触摸劫持攻击的方案较少，而已有的方案多集中于Native App的实时防御，需要增加系统开销，推广性较差。

例如，公开号为CN104462963A，申请号为CN201310423024.3的专利申请文件中公开的方案，提供一种触摸劫持的防御方法及终端，在内核调用Toast类时，获取诱骗层在触摸屏中的位置及诱骗层的大小；在诱骗层所在位置正上方或应用层之上的正下方生成比诱骗层大，能覆盖诱骗层的透明的过滤层，并保持活跃区的活动性。上述方案通过在诱骗层的正上方或正下方生成一个过滤层，从而通过过滤层过滤点击诱骗层所产生的事件，并保存过滤层在应用层投影之外的活跃区的活动性，使得在出现诱骗层时，过滤层投影之外的活跃区依然处于活动状态，方便用户使用。但是该方案是在用户手机上实时的对触摸劫持进行防御，这样必然会增加系统的开销，而且推广性比较差，需要对手机平台进行更改，实现起来比较复杂。加上Hybrid App与Native App有所差异，该方案不能直接应用于HybridApp的触摸劫持攻击。

公开号为CN104767747A，申请号为CN201510143931.1的专利申请文件中公开的方案，提供一种点击劫持安全检测方法和装置，该方法包括：将待检测网页中的按钮元素和网页URL信息进行分离；将按钮元素与敏感元素数据库中的敏感元素进行比对；如果所述按钮元素中存在敏感元素数据库中的敏感元素，则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对；如果所述待检测网页的网页URL信息在所述网址白名单中，则不执行点击劫持的安全检测；如果待检测网页的网页URL信息不在网址白名单中，则执行点击劫持的安全检测。该方法能实现SNS类网站的点击劫持攻击的自动化安全检测。但是该方案是采用的是黑白名单的方法，黑白名单必然不能统计完所有的URL信息，这种方法有较大的局限性。并且点击劫持攻击和触摸劫持攻击所处的平台不同，所以采用的检测方法也不一样，这种方法不能解决在移动端的触摸劫持攻击。

美国专利公开号US20130326617A1，申请号为US13/742,233中所述的方案，提供一种点击劫持的防御方法，该方法主要是评估被点击的元素是不是被模糊化了，如果被点击的元素模糊化，指的是半透明或者是完全透明了那么对被点击的元素生成一种保护措施，防止点击劫持。然而，该方案是对传统的点击劫持攻击的防御方法并不是移动端的触摸劫持攻击的检测和防御方法，传统的PC浏览器端的点击劫持攻击和移动端的App的触摸劫持攻击有不同的特点。该点击劫持攻击是由系统来进行防御，增加了系统的开销，这种方法也不能解决在移动端的触摸劫持攻击。

【发明内容】

本发明所要解决的技术问题是：弥补上述现有技术的不足，提出一种针对混合模式移动应用的检测方法及装置，能对混合模式移动应用是否有触摸劫持攻击进行检测判断，且判断过程是静态分析，不需要消耗系统开销。

本发明的技术问题通过以下的技术方案予以解决：

一种针对混合模式移动应用的检测方法，对待检测的混合模式移动应用进行如下判断：1)计算：计算所述混合模式移动应用的反映控件透明度的透明度信息U，以及反映各个界面之间控件相互覆盖程度的覆盖度信息C；2)确定权重系数：确定透明度信息的权重系数w_U和覆盖度信息的权重信息w_c；3)计算所述混合模式移动应用的综合威胁度TH＝U*w_U+C*w_c；4)判断所述综合威胁度TH是否大于设定阈值，如果是，则判断所述混合模式移动应用为有触摸劫持风险的移动应用；如果否，则判断所述混合模式移动应用为正常的移动应用。

本发明还提供一种针对混合模式移动应用的检测装置，根据如上所述的检测方法进行混合模式移动应用是否为有触摸劫持风险的移动应用的检测判断。

本发明与现有技术对比的有益效果是：

本发明的针对混合模式移动应用的检测方法及装置，通过控件的透明度，控件覆盖数量等至少这两方面的信息对App进行考察，控件的透明度越高，交叉覆盖度越高，相应越易受到触摸劫持攻击，据此准确判断APP是否易受到触摸劫持攻击。本发明对移动应用的所有界面进行静态分析，以找到潜在的会受到触摸劫持攻击的控件元素。整个检测过程采用静态分析的方法提前检测判断，而不是运行过程中的实时防御，所以无需消耗移动应用运行时的系统开销，可实现较高的检测效率和准确度。

【附图说明】

图1是本发明具体实施方式的针对混合模式移动应用的检测方法的流程图；

图2是本发明具体实施方式的检测方法中计算有效控件度的流程图。

【具体实施方式】

下面结合具体实施方式并对照附图对本发明做进一步详细说明。

本具体实施方式的检测方法可以分为对两个主要的方面进行考察，分别为控件透明度和控件覆盖度。此两个方面是最为基础的。分析触摸劫持攻击可知，触摸劫持攻击主要是通过视觉欺骗来实现的，隐藏界面或控件来诱惑用户造成误点，因此控件的透明度越高，人越不容易分辨出来是否有控件被点击，就越容易造成误点。另一方面，触摸劫持攻击中最多的一种情况是将两个元素覆盖在一起，因此分析控件覆盖度，如果覆盖度越高，则越容易有触摸劫持风险。除了上述两个方面的分析之外，进一步地，为提高判断检测的准确性，可再引入其它方面进行考察。例如，有效控件度、敏感权限度。Hybrid App界面中的控件越多，进行触摸劫持攻击就有越好的隐蔽性和欺骗性，因此将控件数量，也即有效控件度作为一个考量特征可增加判断检测结果的合理性和可行性。而敏感权限度表征的是Hybrid App所申请的权限，触摸劫持攻击主要通过误导用户触摸，使用App的权限进行恶意操作，所以考察Hybrid App所申请的权限可辅助用于判断Hybrid App受到触摸劫持攻击的风险程度。以下，将以优选的方案，以上述四个方面来描述本具体实施方式的检测方法，但需说明的是，分析其中至少透明度信息和覆盖度信息即可达到准确判断检测的目的，并不限制必须全部四个方面都进行分析。

本具体实施方式的分析以静态分析为主，可以分为统计阶段和分析阶段。在统计阶段对要考察的对象通过对相应的处理方法来统计出所需的数据，在分析阶段则把统计到的数据进行量化分析计算出相应的结果。

如图1所示，为本发明具体实施方式的针对混合模式移动应用的检测方法的流程图。如下，依次描述各步骤的具体内容。

步骤101：计算待检测的Hybrid App的有效控件度。

该步骤中，提取控件的数量，当一个Hybrid App中的一个界面中控件数目越多，那么界面的布局结构就越复杂，触摸劫持攻击的隐蔽性就越强，发动触摸劫持攻击的迷惑性就越大，从而潜在的攻击性越大。控件的数量越多时，攻击者随机在某个控件上实施劫持攻击，用户和检测者并不知道哪个控件上会有攻击，所以攻击就有了很好的隐蔽性和迷惑性。本步骤考察的控件至少需包括输入框控件和按钮控件。优选地，为增加计算结果的准确性，考察的控件还可包括WebView控件，图片按钮控件、Textview及其子类(例如有Button,RadioButton,CheckBox,ToggleButton等)、ImageView及其子类(例如Imagebutton是ImageView的子类，以及包括Imagebutton的子类)。为统一描述，如下以分析四类控件来描述：输入框，按钮，WebView，图片按钮，但不构成限制，多几种或者少几种根据用户对检测方法的计算量需求和准确度需求综合设定即可。

本步骤计算时，统计各个界面的控件数量，通过反编译Hybrid App找出App中的待分析文件，静态分析得到控件数量结果。流程图如图2所示：

1.反编译Hybrid App，以寻找需要分析的文件

将Hybrid App进行反编译之后，可以找到该App的所有xml文件和html文件。本步骤并不需要对App中所有的文件进行分析，只需要对xml文件和html文件进行分析。因为这些文件是布局文件，用户直接看到的是xml文件和html文件直接展示的结果，这些文件控制了用户所看到的内容。

直接反编译可以获得的界面定义为内部界面。除了对内部界面进行分析之外需要对该App运行时所加载的服务器端的界面进行分析，这些界面只有通过App中的URL地址加载，本步骤定义这种由服务器端加载进来的界面称为外部界面。App通过loadurl()在运行的时候将外部界面加载到WebView中，可以利用App中提供的URL地址用爬虫工具得到外部界面。

2.对xml文件和html文件进行静态分析

对所有的xml和html文件进行静态分析，在xml文件中对所有标签进行扫描就可以得到控件的数量。采用的静态分析方法是进行词法分析，以WebView，Button，ImageButton，EditText为关键字来进行分析xml文件和html文件，就可以统计出它们的数量。

如果该App中共有N个界面，分析第n个界面(xml文件或html文件)中所有控件的数量总和，和前述选定的四种控件元素的数量：输入框数量ET_n，按钮数量BT_n，WebView数量WV_n，图片按钮的数量IB_n，称选定的这四种控件为有效控件。记第n个界面中的这四种控件的数量为CM(n)，则

CM(n)＝ET_n+BT_n+WV_n+IB_n (1)

该界面中总共的控件元素个数为CMA(n)。定义该界面的有效控件度I(n)为：

则该Hybrid App的综合有效控件度为：I＝max{I(n)|1≤i≤n} (3)

其中有效控件度I∈[0，1]。

步骤102：计算待检测的Hybrid App的控件透明度。

由于触摸劫持攻击主要是通过视觉欺骗来实现的，控件的透明度越高，人越不容易分辨出来是否有控件被点击，这就造成了误点。因此本步骤中提取和量化控件的透明度特征。透明度特征的提取主要是利用统计的方法对App的代码进行静态分析，来统计出各个控件的透明度。

对界面和界面中的控件的透明度进行考察。已经有研究人员研究过透明度这个因素对劫持攻击的影响，但是他们仅研究了在手机浏览器的Web App触摸劫持攻击。由于所处的平台不一样，Hybrid App中界面和控件的类型与Web App中有较大的不同：Web App中页面主要是由网页语言如html来构成，但是在Hybrid App中不仅有html页面还有Native页面。本步骤采取一种新的透明度建模方法来对整个界面中的元素而不是单个被触摸元素的透明度来进行评估。

本步骤中，主要对上述选定的四种控件进行考察，也即按钮(Button)，输入框(EditText),图片按钮(ImageButton)，WebView。通过分析触摸劫持攻击可知，触摸劫持也主要利用这四种控件来进行攻击，所以选定这四种控件也有一定的代表性。

以Android平台为例，在Android中设置控件的透明度，例如设置Button为完全透明<Button android:background＝"#00000000".../>，设置为半透明<Button android:background＝"#e0000000".../>，android:background,android：alpha,android:color。同理可以设置ImageButton，WebView，EditText的透明度。在分析到控件的透明度时对透明度进行量化，例如将完全透明记为100，将半透明记为50。透明度特征的提取主要是利用统计的方法对App的代码进行静态分析，读取App代码中有关透明度的语句可以获得各个控件的透明度，从而统计出各个控件的透明度。

对第n个界面中不同控件的透明度，例如Button的透明度BT(n)_t、EditText的透明度ET(n)_t、ImageButton的透明度IB(n)_t、WebView的透明度WV(n)_t，可以分别定义如下：

BT(n)_t＝max{bt(n，i)_t|1≤i≤BT_n} (4)

ET(n)_t＝max{et(n，i)_t|1≤i≤ET_n} (5)

IB(n)_t＝max{ib(n，i)_t|1≤i≤IB_n} (6)

WV(n)_t＝max{wv(n，i)_t|1≤i≤WV_n} (7)

其中，bt(n，i)_t是第n个界面中第i个按钮控件的透明度，BT_n是上述步骤101中得到的第n个界面中按钮控件的数量。et(n，i)_t是第n个界面中第i个输入框控件的透明度，ET_n是上述步骤101中得到的第n个界面中输入框控件的数量。ib(n，i)_t是第n个界面中第i个图片按钮控件的透明度，IB_n是上述步骤101中得到的第n个界面中图片控件的数量。wv(n，i)_t是第n个界面中第i个WebView控件中的透明度，WV_n是上述步骤101中得到的第n个界面中WebView控件的数量。透明度的值越大，说明控件越透明。

综合以上考虑，定义第n个界面的综合透明度为：

U(n)_t＝max{B(n)_t，ET(n)_t，IB(n)_t，WV(n)_t} (8)

则该App的透明度为U＝max{U(n)_t|1≤n≤N} (9)

其中N为总共的界面数量，U∈[0，1]。

步骤103：计算待检测的Hybrid App的控件覆盖度。

由于触摸劫持攻击中最多的一种情况是将两个元素覆盖在一起，例如将一个WebView覆盖在另一个WebView上，将一个Button覆盖在另一个Button上，一个Native端的控件覆盖到一个Web端的控件上，因此本步骤分析界面之间的覆盖数量，从而把元素之间的覆盖情况作为一个考量特征。由于Hybrid App和Native App、web App的不同，本步骤在考虑劫持攻击时不仅要考虑单独的Native端或者Web端，还要考虑Native端和Web端的交叉部分。根据这个新的特点，在计算覆盖度的时候统计交叉覆盖的控件的组数。

Hybrid App中控件覆盖可能在Native和Web端交叉进行。所以需要提取xml文件和html文件中控件的位置信息来统计Native端或Web端或两者交叉的覆盖控件的组数，将位置有重合的一对控件称为一组覆盖控件。该Hybrid App中覆盖控件对数记为U_c，称为控件的覆盖度。

上述确定控件的位置信息的过程，优选地，采用先自动生成匹配的java文件，再通过java文件提供的方法来得到控件的位置。反编译Hybrid App可找出所有的xml文件和html文件，在此基础上自动生成java代码来匹配要分析的xml文件和html文件，Java中有提供获取控件位置的方法，因此可间接获取xml文件和html文件中所有控件的坐标。这种通过生成匹配的java来分析xml文件中控件的位置的方法，并不改写app的原代码，因此大大降低了检测分析的难度，提高了分析的速度，同时也确保了准确性。

以下是计算所有要考察的控件的位置的具体步骤：

反编译App找出所有的xml文件和html文件，在此基础上自动生成java代码来匹配要分析的xml和html文件，以便获取xml和html中所有控件的坐标。生成的java代码主要是为了利用xml中的控件是继承自View，而View中提供了相应的方法来获取控件元素在屏幕中的位置信息，通过view.getLocationOnScreen(location)即可获取位置信息。对于html文件则可以自动生成相应的JavaScript代码。如下算法1可获取html中的控件位置：

上述算法1中CM是控件对象，通过递归迭代，获得offset绝对位置。算法1是现有技术已有的，是java提供的获取在html中控件相对于屏幕的位置的方法。该方法描述的是怎么样通过java提供的获取控件位置的方法，来获得html控件相对于屏幕的位置。由于Java没有提供直接获取控件相对于屏幕绝对位置的方法，只是提供了子控件相对于父控件的偏移，所以上述算法是通过多次迭代获取到子控件相对于屏幕的坐标。

通过以上步骤可以定义一个二元组来保存控件元素和它们的位置信息，L{name，location(x，y)}。之后比较同类控件在各个界面上的位置信息，如果一对控件元素有相同的位置则记为一个覆盖对，这样可以求出该App一共有U_c个覆盖对。

步骤104：计算待检测的Hybrid App的敏感权限度。

在Hybrid App中，触摸劫持攻击需要获取一定的访问权限才能执行有危害的操作，例如打电话，发短信，调用摄像头。当所要申请的敏感权限越多时，该Hybrid App受到劫持攻击时所受的危害越大，该Hybrid App很有可能是恶意的App。本步骤中即分析HybridApp的敏感权限数量，将其作为后续检测判断的一个考虑特征。

具体分析时，可以通过分析该Hybrid App的manifest.xml文件来统计该HybridApp在运行时需申请的敏感权限的数量，记为Per。具体可以对manifest.xml进行词法分析，以uses-permision为关键词提取出所申请的权限总数。同时，用户自行设定应用程序常用到的权限类型总数PM，以便计算相对比例。本具体实施方式中，设定的应用程序常用到的敏感权限类型列表如表1所示，则PM为15，Per则是指Hybrid App申请的在表1中的权限总数。

表1 设定的敏感权限类型列表

综上，定义敏感权限度如下：

其中敏感权限度P∈[0，1]。

步骤105：确定权重系数，计算待检测的Hybrid App的综合威胁度。

通过以上四个参数的加权和来定义威胁度。首先根据重要程度给以上四个参数分别设置不同的权重，确定权重系数的总的原则是根据以上分析的参数的重要程度来设定。例如，分析上述四个参数后，在这四个参数中透明度和覆盖度的影响较大，因此其权重系数的大小应该最大程度代表该Hybrid App的威胁程度，另外两个参数的影响程度相对于透明度和覆盖度要小。

示意性地，如w_l＝0.1，w_U＝0.4，w_c＝0.4，w_p＝0.1。其中w_l为App有效控件度I的权重，w_U为App控件透明度U的权重，w_c为App的控件覆盖度C的权重，w_p为App的敏感权限度。该实例仅为示意性，不构成限制，其它设置，例如0.2，0.3，0.3，0.2的设置也均是可行的。

定义该Hybrid App的综合威胁度：

TH＝I*w_l+U*w_U+C*w_c+P*w_p (11)

需要说明是，上述通过四项计算威胁度的公式仅为评判标准量化一个示例，不构成限制，相应改进或者变化的公式都可适用于此。例如，如前述仅选择两个考量特征：控件透明度和控件覆盖度，则相应地，该步骤计算的综合威胁度为TH＝U*w_U+C*w_c；如前述选择三个考量特征：控件透明度，控件覆盖度和有效控件度，则TH＝I*w_l+U*w_U+C*w_c；类似地，如选择三个考量特征：控件透明度，控件覆盖度和敏感权限度，则TH＝U*w_U+C*w_c+P*w_p。如前述考量特征可以有五项甚至更多，例如除有效控件度、控件透明度、控件覆盖度、敏感权限度，还可引入其它可考量Hybrid App是否有触摸劫持风险的考量特征，则可相应设置权重系数，进而通过五项甚至更多项综合判断威胁度。

确定综合威胁度后，通过综合威胁度TH来判断该Hybrid App是否容易受到触摸劫持攻击(步骤106)。当TH大于一定的设定阈值时，即可判定该Hybrid App为有触摸劫持风险的App。当不大于时，可判断该Hybrid App为正常的App。这样通过检测，可提前判断HybridApp是否有触摸劫持风险，而不必等到运行时实时防御，可以减少用户的损失。

本具体实施方式的检测方法，根据触摸劫持攻击的特点，确定考量的特征，例如控件的透明度，控件覆盖数量等至少这两方面的信息对App进行考察，将风险程度量化，据此准确判断APP是否易受到触摸劫持攻击。本具体实施方式对移动应用的所有界面进行静态分析，以找到潜在的会受到触摸劫持攻击的控件元素。整个检测过程采用静态分析的方法提前检测判断，而不是运行过程中的实时防御，所以无需消耗移动应用运行时的系统开销，可实现较高的检测效率和准确度。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下做出若干替代或明显变型，而且性能或用途相同，都应当视为属于本发明的保护范围。

Claims

1.一种针对混合模式移动应用的检测方法，其特征在于：对待检测的混合模式移动应用进行如下判断：1)计算：计算所述混合模式移动应用的反映控件透明度的透明度信息U，以及反映各个界面之间控件相互覆盖程度的覆盖度信息C；2)确定权重系数：确定透明度信息的权重系数w_U和覆盖度信息的权重信息w_c；3)计算所述混合模式移动应用的综合威胁度TH＝U*w_U+C*w_o；4)判断所述综合威胁度TH是否大于设定阈值，如果是，则判断所述混合模式移动应用为有触摸劫持风险的移动应用；如果否，则判断所述混合模式移动应用为正常的移动应用；其中，所述步骤1)中还包括计算所述混合模式移动应用的反映控件数量的综合有效控件度I；所述步骤2)中还包括确定有效控件度的权重系数w_I；所述步骤3)中计算综合威胁度TH＝I*w_I+U*w_U+C*w_c。

2.根据权利要求1所述的针对混合模式移动应用的检测方法，其特征在于：所述步骤1)中，通过选定几种控件的透明度以及相互覆盖程度分别计算得到所述透明度信息U和所述覆盖度信息C；其中，所述选定几种控件至少包括输入框控件和按钮控件。

3.根据权利要求2所述的针对混合模式移动应用的检测方法，其特征在于：所述步骤1)中按照如下步骤计算所述透明度信息U：计算所述混合模式移动应用中各个界面中选定几种控件的透明度；将透明度中的最大值确定为所述混合模式移动应用的透明度信息。

4.根据权利要求2所述的针对混合模式移动应用的检测方法，其特征在于：所述步骤1)中按照如下步骤计算所述覆盖度信息C：确定所述混合模式移动应用中各个界面中选定几种控件的位置信息；比较同类控件在各个界面上的位置信息，将位置信息相同的一对控件记为一个覆盖对，将所述混合模式移动应用的覆盖对个数作为所述覆盖度信息。

5.根据权利要求1所述的针对混合模式移动应用的检测方法，其特征在于：所述步骤1)中按照如下步骤计算综合有效控件度I：计算所述混合模式移动应用中各界面的有效控件度，第n个界面的有效控件度为I(n)，CM(n)表示第n个界面中选定几种控件的数量之和，所述选定几种控件至少包括输入框控件和按钮控件；CMA(n)表示第n个界面中所有控件的数量总和；将所述混合模式移动应用中各界面的有效控件度中的最大值作为所述混合模式移动应用的综合有效控件度。

6.根据权利要求1所述的针对混合模式移动应用的检测方法，其特征在于：所述步骤1)中还包括计算所述混合模式移动应用的反映运行时申请权限情况的敏感权限度P；所述步骤2)中还包括确定敏感权限度的权重系数w_p；所述步骤3)中计算综合威胁度TH＝U*w_U+C*w_c+P*w_p。

7.根据权利要求6所述的针对混合模式移动应用的检测方法，其特征在于：所述步骤1)中按照如下步骤计算所述敏感权限度P，其中，Per表示所述混合模式移动应用在运行时需申请的权限总数，PM表示用户设定的应用程序常用到的敏感权限类型总数。

8.根据权利要求2或5所述的针对混合模式移动应用的检测方法，其特征在于：所述选定几种控件还包括WebView控件、图片按钮控件、Textview控件、Textview子类控件、ImageView控件、ImageView子类控件中的一种或者多种。

9.一种针对混合模式移动应用的检测装置，其特征在于：根据如权利要求1～8任一项所述的检测方法进行混合模式移动应用是否为有触摸劫持风险的移动应用的检测判断。