首頁民生服務(wù) 民生百問翻他人眼皮能解鎖支付工具偷錢？實(shí)測(cè)結(jié)果來了

翻他人眼皮能解鎖支付工具偷錢？實(shí)測(cè)結(jié)果來了

2021-12-17 10:44:29 人民日?qǐng)?bào)客戶端

最近，與人臉識(shí)別安全性相關(guān)的話題不少：據(jù)《南寧晚報(bào)》報(bào)道，有一男子趁前女友昏睡時(shí)，用女友的指紋解鎖了女友的手機(jī)，并翻開她的眼皮，利用人臉識(shí)別從手機(jī)轉(zhuǎn)走15.41萬元；還有一條消息在社交媒體傳播，聲稱有微信用戶接通舅媽的視頻通話后，視頻里沒有舅媽也沒有人說話，但幾分鐘后，微信賬戶就被盜了……這些消息都是真的嗎？

南寧晚報(bào)的報(bào)道

網(wǎng)傳“與舅媽視頻通話被盜號(hào)”消息

解放日?qǐng)?bào)·上觀新聞?dòng)浾哌M(jìn)行了實(shí)測(cè)，發(fā)現(xiàn)“翻眼皮”還真可能被轉(zhuǎn)賬；但視頻遠(yuǎn)程盜號(hào)，可能性很小。

實(shí)驗(yàn)一

翻他人眼皮解鎖手機(jī)并轉(zhuǎn)賬

結(jié)果：部分安卓手機(jī)成功了，蘋果手機(jī)失敗了。

對(duì)于“男子翻前女友眼皮偷錢”的消息，有網(wǎng)友評(píng)論：被翻眼皮不會(huì)醒嗎？從新聞報(bào)道看，該女子當(dāng)時(shí)正好生病，還喝下了感冒藥，不排除睡得比較沉的情況。那么，假如在熟睡狀態(tài)下被人翻眼皮，到底能不能解開基于人臉識(shí)別技術(shù)設(shè)置的手機(jī)密碼和賬戶密碼？

記者的一名小伙伴主動(dòng)閉上眼睛假裝熟睡并拿起自己的手機(jī)對(duì)著正臉，另一名小伙伴則輕輕地翻起她的眼皮試圖解鎖開機(jī)。實(shí)驗(yàn)結(jié)果顯示，這一操作確實(shí)能解開部分安卓手機(jī)的鎖屏，并且通過第三方支付軟件的人臉識(shí)別認(rèn)證，完成轉(zhuǎn)賬。蘋果手機(jī)顯示識(shí)別不成功，需要開機(jī)者輸入解鎖密碼。

“翻眼皮”解鎖了部分安卓手機(jī)

解讀：雖然通過翻眼皮成功解開了部分安卓手機(jī)的鎖屏并完成了轉(zhuǎn)賬，但這并不意味著安卓手機(jī)或相關(guān)App不安全。

因?yàn)槿四樧R(shí)別技術(shù)的基礎(chǔ)是“人臉”。在“翻眼皮”實(shí)驗(yàn)中，對(duì)象正是用戶本人，如果“翻眼皮”這一動(dòng)作的實(shí)施沒有過度遮擋人臉，手機(jī)和相關(guān)App的識(shí)別系統(tǒng)就會(huì)正常工作，從而完成解鎖。通俗地說，手機(jī)或者相關(guān)App無法判斷用戶是主動(dòng)睜眼進(jìn)行人臉識(shí)別，還是被迫睜眼進(jìn)行人臉識(shí)別。

當(dāng)然，不同手機(jī)所應(yīng)用的人臉識(shí)別技術(shù)有區(qū)別，會(huì)帶來不一樣的解鎖效果。

比如，蘋果手機(jī)之所以沒有識(shí)別“被翻眼皮的人臉”，一個(gè)重要原因是其運(yùn)用了人臉的3D信息來識(shí)別人臉。簡(jiǎn)單來說，就是手機(jī)將成千上萬個(gè)肉眼不可見的光點(diǎn)投影在人的臉部，由于臉部不同部位高低不同，這些光點(diǎn)的反射線就能繪制出一個(gè)立體的臉部3D模型，再結(jié)合前置攝像頭拍攝的可見光人臉，用算法將人臉的紋理與3D模型結(jié)合，從而得到“是不是本人使用”“能不能解鎖”的結(jié)果。當(dāng)用戶被人翻眼皮時(shí)，投射的部分光點(diǎn)被遮掩，從而難以構(gòu)建一個(gè)完整的人臉3D模型，這就導(dǎo)致手機(jī)給出了識(shí)別不成功的信號(hào)。

3D建模模擬圖（來源：蘋果官網(wǎng)）

因此，3D人臉識(shí)別能防止平面的紙張（如照片）、視頻等人臉攻擊手段；再加上投射的光點(diǎn)數(shù)量夠多并結(jié)合人臉紋理拍攝，能較好地防止使用面具進(jìn)行解鎖。

安卓陣營的手機(jī)使用的人臉識(shí)別技術(shù)并不一致，有些使用3D成像，有些用的是比對(duì)臉部關(guān)鍵信息點(diǎn)。所以，如果“翻眼皮”的動(dòng)作沒有影響到這些關(guān)鍵點(diǎn)，手機(jī)被破解屬于正?，F(xiàn)象。

可見，要防止媒體報(bào)道中的“被翻眼皮轉(zhuǎn)賬”，歸根結(jié)底還是管好自己的手機(jī)。

需要提醒的是，“翻別人眼皮轉(zhuǎn)賬”的行為涉嫌盜竊。據(jù)南寧晚報(bào)報(bào)道，轉(zhuǎn)走前女友錢款的男子就因盜竊罪被依法判處有期徒刑三年六個(gè)月，并處罰金2萬元。

實(shí)驗(yàn)二

通過視頻通話解鎖手機(jī)屏幕

結(jié)果：均失敗。

“翻眼皮”可以解鎖部分手機(jī)，那么通過視頻電話能通過系統(tǒng)的人臉識(shí)別并實(shí)現(xiàn)盜號(hào)嗎？

由于蘋果手機(jī)采取3D信息驗(yàn)證技術(shù)，能夠防止照片、視頻等構(gòu)建的“假臉”，所以這次實(shí)驗(yàn)只測(cè)試了安卓手機(jī)，而且是能通過“翻眼皮解鎖”的手機(jī)。

解鎖中，測(cè)試手機(jī)對(duì)著視頻中的人臉識(shí)別了很久，最終仍舊表示“識(shí)別失敗”，未能成功解鎖。同樣的，各種第三方支付軟件均不能通過識(shí)別“視頻人臉”進(jìn)行轉(zhuǎn)賬或支付。

視頻通話里的臉部未能解鎖手機(jī)

解讀：人臉識(shí)別技術(shù)的關(guān)鍵之一是進(jìn)行活體識(shí)別，即識(shí)別的是活生生的人，而不是視頻或照片。所以，類似照片、視頻這樣平面的“假臉”“假人”，是人臉識(shí)別技術(shù)要剔除的最基本的偽裝。在這點(diǎn)上，絕大多數(shù)手機(jī)企業(yè)都已有技術(shù)積累，“視頻解鎖”的概率非常低。

同時(shí)，類似微信、支付寶、各大銀行的網(wǎng)銀等涉及支付的App對(duì)安全性要求很高，通常都需要多維驗(yàn)證，包括設(shè)備、密碼、使用環(huán)境、使用習(xí)慣等。平時(shí)，人們感受的“刷臉登錄”“刷臉轉(zhuǎn)賬”背后，是安全系統(tǒng)對(duì)以上維度綜合判斷后給出的服務(wù)。在絕大多數(shù)情況下，如果用戶換了一臺(tái)手機(jī)，不通過其他維度的驗(yàn)證，很難立刻獲得“刷臉登錄”“刷臉轉(zhuǎn)賬”的便捷。

以微信為例，如果僅掌握他人的微信賬戶（微信號(hào)或手機(jī)號(hào)）卻沒有密碼，而想獲得密碼，那么按照微信安全中心的官方指引，有三種方式：已綁定的手機(jī)號(hào)+短信驗(yàn)證碼登錄；已綁定的QQ號(hào)+QQ密碼；已綁定的郵箱重設(shè)密碼。不論是哪種方式，都難以輕易獲得對(duì)應(yīng)的密碼。

而且，即便掌握了賬號(hào)和密碼，想在非本人使用的手機(jī)上登錄微信賬號(hào)，還得“過關(guān)”。微信官方提供三種方式：手機(jī)短信驗(yàn)證、原手機(jī)掃碼驗(yàn)證、邀請(qǐng)好友驗(yàn)證。但在網(wǎng)傳視頻中，“受害人”的手機(jī)一直在自己手上，只是打了幾分鐘視頻電話，就被盜號(hào)，可能嗎？有技術(shù)人員笑稱，如果視頻就能盜號(hào)解鎖，那么網(wǎng)絡(luò)上的高清視頻都能成為犯罪工具，且明星更容易成為此類手法攻擊的對(duì)象——因?yàn)樗麄兊母咔迥槻考?xì)節(jié)和動(dòng)態(tài)畫面頻繁出現(xiàn)在公開場(chǎng)合。

記者求證時(shí)還發(fā)現(xiàn)，網(wǎng)傳視頻漏洞百出。相關(guān)視頻大多是擺拍。視頻中，“被害人”看到的通話頁面中既沒有通話對(duì)象，也沒有手機(jī)或攝像頭，而是雜亂無章的物品。換句話說，“被害人”并沒有看到網(wǎng)絡(luò)那邊的攝像頭，這又是怎么被“盜臉”了呢？

另一個(gè)“硬傷”是，部分視頻在末尾看似貼心地提醒，如果遭遇盜號(hào)，可以撥打熱線電話“9555”凍結(jié)網(wǎng)銀。但是，“9555”是一個(gè)空號(hào)，且不同銀行的客戶服務(wù)熱線并不一致，并不存在能凍結(jié)所有銀行網(wǎng)銀的通用電話。