首頁 民生服務(wù) 民生百問 翻他人眼皮能解鎖支付工具偷錢?實(shí)測(cè)結(jié)果來了

翻他人眼皮能解鎖支付工具偷錢?實(shí)測(cè)結(jié)果來了

2021-12-17 10:44:29 人民日?qǐng)?bào)客戶端

最近,與人臉識(shí)別安全性相關(guān)的話題不少:據(jù)《南寧晚報(bào)》報(bào)道,有一男子趁前女友昏睡時(shí),用女友的指紋解鎖了女友的手機(jī),并翻開她的眼皮,利用人臉識(shí)別從手機(jī)轉(zhuǎn)走15.41萬元;還有一條消息在社交媒體傳播,聲稱有微信用戶接通舅媽的視頻通話后,視頻里沒有舅媽也沒有人說話,但幾分鐘后,微信賬戶就被盜了……這些消息都是真的嗎?

南寧晚報(bào)的報(bào)道

網(wǎng)傳“與舅媽視頻通話被盜號(hào)”消息

解放日?qǐng)?bào)·上觀新聞?dòng)浾哌M(jìn)行了實(shí)測(cè),發(fā)現(xiàn)“翻眼皮”還真可能被轉(zhuǎn)賬;但視頻遠(yuǎn)程盜號(hào),可能性很小

實(shí)驗(yàn)一

翻他人眼皮解鎖手機(jī)并轉(zhuǎn)賬

結(jié)果:部分安卓手機(jī)成功了,蘋果手機(jī)失敗了。

對(duì)于“男子翻前女友眼皮偷錢”的消息,有網(wǎng)友評(píng)論:被翻眼皮不會(huì)醒嗎?從新聞報(bào)道看,該女子當(dāng)時(shí)正好生病,還喝下了感冒藥,不排除睡得比較沉的情況。那么,假如在熟睡狀態(tài)下被人翻眼皮,到底能不能解開基于人臉識(shí)別技術(shù)設(shè)置的手機(jī)密碼和賬戶密碼?

記者的一名小伙伴主動(dòng)閉上眼睛假裝熟睡并拿起自己的手機(jī)對(duì)著正臉,另一名小伙伴則輕輕地翻起她的眼皮試圖解鎖開機(jī)。實(shí)驗(yàn)結(jié)果顯示,這一操作確實(shí)能解開部分安卓手機(jī)的鎖屏,并且通過第三方支付軟件的人臉識(shí)別認(rèn)證,完成轉(zhuǎn)賬。蘋果手機(jī)顯示識(shí)別不成功,需要開機(jī)者輸入解鎖密碼。

“翻眼皮”解鎖了部分安卓手機(jī)

解讀:雖然通過翻眼皮成功解開了部分安卓手機(jī)的鎖屏并完成了轉(zhuǎn)賬,但這并不意味著安卓手機(jī)或相關(guān)App不安全。

因?yàn)槿四樧R(shí)別技術(shù)的基礎(chǔ)是“人臉”。在“翻眼皮”實(shí)驗(yàn)中,對(duì)象正是用戶本人,如果“翻眼皮”這一動(dòng)作的實(shí)施沒有過度遮擋人臉,手機(jī)和相關(guān)App的識(shí)別系統(tǒng)就會(huì)正常工作,從而完成解鎖。通俗地說,手機(jī)或者相關(guān)App無法判斷用戶是主動(dòng)睜眼進(jìn)行人臉識(shí)別,還是被迫睜眼進(jìn)行人臉識(shí)別。

當(dāng)然,不同手機(jī)所應(yīng)用的人臉識(shí)別技術(shù)有區(qū)別,會(huì)帶來不一樣的解鎖效果。

比如,蘋果手機(jī)之所以沒有識(shí)別“被翻眼皮的人臉”,一個(gè)重要原因是其運(yùn)用了人臉的3D信息來識(shí)別人臉。簡(jiǎn)單來說,就是手機(jī)將成千上萬個(gè)肉眼不可見的光點(diǎn)投影在人的臉部,由于臉部不同部位高低不同,這些光點(diǎn)的反射線就能繪制出一個(gè)立體的臉部3D模型,再結(jié)合前置攝像頭拍攝的可見光人臉,用算法將人臉的紋理與3D模型結(jié)合,從而得到“是不是本人使用”“能不能解鎖”的結(jié)果。當(dāng)用戶被人翻眼皮時(shí),投射的部分光點(diǎn)被遮掩,從而難以構(gòu)建一個(gè)完整的人臉3D模型,這就導(dǎo)致手機(jī)給出了識(shí)別不成功的信號(hào)。

3D建模模擬圖(來源:蘋果官網(wǎng))

因此,3D人臉識(shí)別能防止平面的紙張(如照片)、視頻等人臉攻擊手段;再加上投射的光點(diǎn)數(shù)量夠多并結(jié)合人臉紋理拍攝,能較好地防止使用面具進(jìn)行解鎖。

安卓陣營的手機(jī)使用的人臉識(shí)別技術(shù)并不一致,有些使用3D成像,有些用的是比對(duì)臉部關(guān)鍵信息點(diǎn)。所以,如果“翻眼皮”的動(dòng)作沒有影響到這些關(guān)鍵點(diǎn),手機(jī)被破解屬于正?,F(xiàn)象。

可見,要防止媒體報(bào)道中的“被翻眼皮轉(zhuǎn)賬”,歸根結(jié)底還是管好自己的手機(jī)

需要提醒的是,“翻別人眼皮轉(zhuǎn)賬”的行為涉嫌盜竊。據(jù)南寧晚報(bào)報(bào)道,轉(zhuǎn)走前女友錢款的男子就因盜竊罪被依法判處有期徒刑三年六個(gè)月,并處罰金2萬元。

實(shí)驗(yàn)二

通過視頻通話解鎖手機(jī)屏幕

結(jié)果:均失敗。

“翻眼皮”可以解鎖部分手機(jī),那么通過視頻電話能通過系統(tǒng)的人臉識(shí)別并實(shí)現(xiàn)盜號(hào)嗎?

由于蘋果手機(jī)采取3D信息驗(yàn)證技術(shù),能夠防止照片、視頻等構(gòu)建的“假臉”,所以這次實(shí)驗(yàn)只測(cè)試了安卓手機(jī),而且是能通過“翻眼皮解鎖”的手機(jī)。

解鎖中,測(cè)試手機(jī)對(duì)著視頻中的人臉識(shí)別了很久,最終仍舊表示“識(shí)別失敗”,未能成功解鎖。同樣的,各種第三方支付軟件均不能通過識(shí)別“視頻人臉”進(jìn)行轉(zhuǎn)賬或支付。

視頻通話里的臉部未能解鎖手機(jī)

解讀:人臉識(shí)別技術(shù)的關(guān)鍵之一是進(jìn)行活體識(shí)別,即識(shí)別的是活生生的人,而不是視頻或照片。所以,類似照片、視頻這樣平面的“假臉”“假人”,是人臉識(shí)別技術(shù)要剔除的最基本的偽裝。在這點(diǎn)上,絕大多數(shù)手機(jī)企業(yè)都已有技術(shù)積累,“視頻解鎖”的概率非常低。

同時(shí),類似微信、支付寶、各大銀行的網(wǎng)銀等涉及支付的App對(duì)安全性要求很高,通常都需要多維驗(yàn)證,包括設(shè)備、密碼、使用環(huán)境、使用習(xí)慣等。平時(shí),人們感受的“刷臉登錄”“刷臉轉(zhuǎn)賬”背后,是安全系統(tǒng)對(duì)以上維度綜合判斷后給出的服務(wù)。在絕大多數(shù)情況下,如果用戶換了一臺(tái)手機(jī),不通過其他維度的驗(yàn)證,很難立刻獲得“刷臉登錄”“刷臉轉(zhuǎn)賬”的便捷。

以微信為例,如果僅掌握他人的微信賬戶(微信號(hào)或手機(jī)號(hào))卻沒有密碼,而想獲得密碼,那么按照微信安全中心的官方指引,有三種方式:已綁定的手機(jī)號(hào)+短信驗(yàn)證碼登錄;已綁定的QQ號(hào)+QQ密碼;已綁定的郵箱重設(shè)密碼。不論是哪種方式,都難以輕易獲得對(duì)應(yīng)的密碼。

而且,即便掌握了賬號(hào)和密碼,想在非本人使用的手機(jī)上登錄微信賬號(hào),還得“過關(guān)”。微信官方提供三種方式:手機(jī)短信驗(yàn)證、原手機(jī)掃碼驗(yàn)證、邀請(qǐng)好友驗(yàn)證。但在網(wǎng)傳視頻中,“受害人”的手機(jī)一直在自己手上,只是打了幾分鐘視頻電話,就被盜號(hào),可能嗎?有技術(shù)人員笑稱,如果視頻就能盜號(hào)解鎖,那么網(wǎng)絡(luò)上的高清視頻都能成為犯罪工具,且明星更容易成為此類手法攻擊的對(duì)象——因?yàn)樗麄兊母咔迥槻考?xì)節(jié)和動(dòng)態(tài)畫面頻繁出現(xiàn)在公開場(chǎng)合。

記者求證時(shí)還發(fā)現(xiàn),網(wǎng)傳視頻漏洞百出。相關(guān)視頻大多是擺拍。視頻中,“被害人”看到的通話頁面中既沒有通話對(duì)象,也沒有手機(jī)或攝像頭,而是雜亂無章的物品。換句話說,“被害人”并沒有看到網(wǎng)絡(luò)那邊的攝像頭,這又是怎么被“盜臉”了呢?

另一個(gè)“硬傷”是,部分視頻在末尾看似貼心地提醒,如果遭遇盜號(hào),可以撥打熱線電話“9555”凍結(jié)網(wǎng)銀。但是,“9555”是一個(gè)空號(hào),且不同銀行的客戶服務(wù)熱線并不一致,并不存在能凍結(jié)所有銀行網(wǎng)銀的通用電話。

怎樣保護(hù)個(gè)人賬號(hào)?

雖然“視頻盜號(hào)”不真實(shí),但保護(hù)好個(gè)人賬號(hào)仍很必要,應(yīng)當(dāng)注意以下幾點(diǎn):

1. 看管好自己的手機(jī)。

2. 不隨意點(diǎn)擊/掃描不明來源的鏈接或二維碼,避免登錄釣魚網(wǎng)站。

3. 不隨意透露密碼和短信驗(yàn)證碼。尤其是在接到所謂的“客服電話”“警方電話”等,務(wù)必向真正的客服或警方核實(shí)真?zhèn)?,真正的客服和警方并不?huì)索取密碼、短信驗(yàn)證碼等。

4. 下載“國家反詐中心”App并注冊(cè)。

責(zé)編:周曉明

來源:人民日?qǐng)?bào)客戶端

返回頂部