翻他人眼皮能解鎖支付工具偷錢(qián)？實(shí)測(cè)結(jié)果來(lái)了

最近，與人臉識(shí)別安全性相關(guān)的話(huà)題不少：據(jù)《南寧晚報(bào)》報(bào)道，有一男子趁前女友昏睡時(shí)，用女友的指紋解鎖了女友的手機(jī)，并翻開(kāi)她的眼皮，利用人臉識(shí)別從手機(jī)轉(zhuǎn)走15.41萬(wàn)元；還有一條消息在社交媒體傳播，聲稱(chēng)有微信用戶(hù)接通舅媽的視頻通話(huà)后，視頻里沒(méi)有舅媽也沒(méi)有人說(shuō)話(huà)，但幾分鐘后，微信賬戶(hù)就被盜了……這些消息都是真的嗎？

南寧晚報(bào)的報(bào)道↑

網(wǎng)傳“與舅媽視頻通話(huà)被盜號(hào)”消息↑

 

解放日?qǐng)?bào)·上觀(guān)新聞?dòng)浾哌M(jìn)行了實(shí)測(cè)，發(fā)現(xiàn)“翻眼皮”還真可能被轉(zhuǎn)賬；但視頻遠(yuǎn)程盜號(hào)，可能性很小。

 

【實(shí)驗(yàn)一】

翻他人眼皮解鎖手機(jī)并轉(zhuǎn)賬

 

結(jié)果：部分安卓手機(jī)成功了，蘋(píng)果手機(jī)失敗了。

 

對(duì)于“男子翻前女友眼皮偷錢(qián)”的消息，有網(wǎng)友評(píng)論：被翻眼皮不會(huì)醒嗎？從新聞報(bào)道看，該女子當(dāng)時(shí)正好生病，還喝下了感冒藥，不排除睡得比較沉的情況。那么，假如在熟睡狀態(tài)下被人翻眼皮，到底能不能解開(kāi)基于人臉識(shí)別技術(shù)設(shè)置的手機(jī)密碼和賬戶(hù)密碼？

 

記者的一名小伙伴主動(dòng)閉上眼睛假裝熟睡并拿起自己的手機(jī)對(duì)著正臉，另一名小伙伴則輕輕地翻起她的眼皮試圖解鎖開(kāi)機(jī)。實(shí)驗(yàn)結(jié)果顯示，這一操作確實(shí)能解開(kāi)部分安卓手機(jī)的鎖屏，并且通過(guò)第三方支付軟件的人臉識(shí)別認(rèn)證，完成轉(zhuǎn)賬。蘋(píng)果手機(jī)顯示識(shí)別不成功，需要開(kāi)機(jī)者輸入解鎖密碼。

“翻眼皮”解鎖了部分安卓手機(jī)↑

 

解讀：雖然通過(guò)翻眼皮成功解開(kāi)了部分安卓手機(jī)的鎖屏并完成了轉(zhuǎn)賬，但這并不意味著安卓手機(jī)或相關(guān)App不安全。

 

因?yàn)槿四樧R(shí)別技術(shù)的基礎(chǔ)是“人臉”。在“翻眼皮”實(shí)驗(yàn)中，對(duì)象正是用戶(hù)本人，如果“翻眼皮”這一動(dòng)作的實(shí)施沒(méi)有過(guò)度遮擋人臉，手機(jī)和相關(guān)App的識(shí)別系統(tǒng)就會(huì)正常工作，從而完成解鎖。通俗地說(shuō)，手機(jī)或者相關(guān)App無(wú)法判斷用戶(hù)是主動(dòng)睜眼進(jìn)行人臉識(shí)別，還是被迫睜眼進(jìn)行人臉識(shí)別。

 

當(dāng)然，不同手機(jī)所應(yīng)用的人臉識(shí)別技術(shù)有區(qū)別，會(huì)帶來(lái)不一樣的解鎖效果。

 

比如，蘋(píng)果手機(jī)之所以沒(méi)有識(shí)別“被翻眼皮的人臉”，一個(gè)重要原因是其運(yùn)用了人臉的3D信息來(lái)識(shí)別人臉。簡(jiǎn)單來(lái)說(shuō)，就是手機(jī)將成千上萬(wàn)個(gè)肉眼不可見(jiàn)的光點(diǎn)投影在人的臉部，由于臉部不同部位高低不同，這些光點(diǎn)的反射線(xiàn)就能繪制出一個(gè)立體的臉部3D模型，再結(jié)合前置攝像頭拍攝的可見(jiàn)光人臉，用算法將人臉的紋理與3D模型結(jié)合，從而得到“是不是本人使用”“能不能解鎖”的結(jié)果。當(dāng)用戶(hù)被人翻眼皮時(shí)，投射的部分光點(diǎn)被遮掩，從而難以構(gòu)建一個(gè)完整的人臉3D模型，這就導(dǎo)致手機(jī)給出了識(shí)別不成功的信號(hào)。

3D建模模擬圖（來(lái)源：蘋(píng)果官網(wǎng)）↑

 

因此，3D人臉識(shí)別能防止平面的紙張（如照片）、視頻等人臉攻擊手段；再加上投射的光點(diǎn)數(shù)量夠多并結(jié)合人臉紋理拍攝，能較好地防止使用面具進(jìn)行解鎖。

 

安卓陣營(yíng)的手機(jī)使用的人臉識(shí)別技術(shù)并不一致，有些使用3D成像，有些用的是比對(duì)臉部關(guān)鍵信息點(diǎn)。所以，如果“翻眼皮”的動(dòng)作沒(méi)有影響到這些關(guān)鍵點(diǎn)，手機(jī)被破解屬于正常現(xiàn)象。

 

可見(jiàn)，要防止媒體報(bào)道中的“被翻眼皮轉(zhuǎn)賬”，歸根結(jié)底還是管好自己的手機(jī)。

 

需要提醒的是，“翻別人眼皮轉(zhuǎn)賬”的行為涉嫌盜竊。據(jù)南寧晚報(bào)報(bào)道，轉(zhuǎn)走前女友錢(qián)款的男子就因盜竊罪被依法判處有期徒刑三年六個(gè)月，并處罰金2萬(wàn)元。

 

【實(shí)驗(yàn)二】

通過(guò)視頻通話(huà)解鎖手機(jī)屏幕

 

結(jié)果：均失敗。

 

“翻眼皮”可以解鎖部分手機(jī)，那么通過(guò)視頻電話(huà)能通過(guò)系統(tǒng)的人臉識(shí)別并實(shí)現(xiàn)盜號(hào)嗎？

 

由于蘋(píng)果手機(jī)采取3D信息驗(yàn)證技術(shù)，能夠防止照片、視頻等構(gòu)建的“假臉”，所以這次實(shí)驗(yàn)只測(cè)試了安卓手機(jī)，而且是能通過(guò)“翻眼皮解鎖”的手機(jī)。

 

解鎖中，測(cè)試手機(jī)對(duì)著視頻中的人臉識(shí)別了很久，最終仍舊表示“識(shí)別失敗”，未能成功解鎖。同樣的，各種第三方支付軟件均不能通過(guò)識(shí)別“視頻人臉”進(jìn)行轉(zhuǎn)賬或支付。

視頻通話(huà)里的臉部未能解鎖手機(jī)↑

 

解讀：人臉識(shí)別技術(shù)的關(guān)鍵之一是進(jìn)行活體識(shí)別，即識(shí)別的是活生生的人，而不是視頻或照片。所以，類(lèi)似照片、視頻這樣平面的“假臉”“假人”，是人臉識(shí)別技術(shù)要剔除的最基本的偽裝。在這點(diǎn)上，絕大多數(shù)手機(jī)企業(yè)都已有技術(shù)積累，“視頻解鎖”的概率非常低。

 

同時(shí)，類(lèi)似微信、支付寶、各大銀行的網(wǎng)銀等涉及支付的App對(duì)安全性要求很高，通常都需要多維驗(yàn)證，包括設(shè)備、密碼、使用環(huán)境、使用習(xí)慣等。平時(shí)，人們感受的“刷臉登錄”“刷臉轉(zhuǎn)賬”背后，是安全系統(tǒng)對(duì)以上維度綜合判斷后給出的服務(wù)。在絕大多數(shù)情況下，如果用戶(hù)換了一臺(tái)手機(jī)，不通過(guò)其他維度的驗(yàn)證，很難立刻獲得“刷臉登錄”“刷臉轉(zhuǎn)賬”的便捷。

 

以微信為例，如果僅掌握他人的微信賬戶(hù)（微信號(hào)或手機(jī)號(hào)）卻沒(méi)有密碼，而想獲得密碼，那么按照微信安全中心的官方指引，有三種方式：已綁定的手機(jī)號(hào)+短信驗(yàn)證碼登錄；已綁定的QQ號(hào)+QQ密碼；已綁定的郵箱重設(shè)密碼。不論是哪種方式，都難以輕易獲得對(duì)應(yīng)的密碼。

 

而且，即便掌握了賬號(hào)和密碼，想在非本人使用的手機(jī)上登錄微信賬號(hào)，還得“過(guò)關(guān)”。微信官方提供三種方式：手機(jī)短信驗(yàn)證、原手機(jī)掃碼驗(yàn)證、邀請(qǐng)好友驗(yàn)證。但在網(wǎng)傳視頻中，“受害人”的手機(jī)一直在自己手上，只是打了幾分鐘視頻電話(huà)，就被盜號(hào)，可能嗎？有技術(shù)人員笑稱(chēng)，如果視頻就能盜號(hào)解鎖，那么網(wǎng)絡(luò)上的高清視頻都能成為犯罪工具，且明星更容易成為此類(lèi)手法攻擊的對(duì)象——因?yàn)樗麄兊母咔迥槻考?xì)節(jié)和動(dòng)態(tài)畫(huà)面頻繁出現(xiàn)在公開(kāi)場(chǎng)合。

 

記者求證時(shí)還發(fā)現(xiàn)，網(wǎng)傳視頻漏洞百出。相關(guān)視頻大多是擺拍。視頻中，“被害人”看到的通話(huà)頁(yè)面中既沒(méi)有通話(huà)對(duì)象，也沒(méi)有手機(jī)或攝像頭，而是雜亂無(wú)章的物品。換句話(huà)說(shuō)，“被害人”并沒(méi)有看到網(wǎng)絡(luò)那邊的攝像頭，這又是怎么被“盜臉”了呢？

 

另一個(gè)“硬傷”是，部分視頻在末尾看似貼心地提醒，如果遭遇盜號(hào)，可以撥打熱線(xiàn)電話(huà)“9555”凍結(jié)網(wǎng)銀。但是，“9555”是一個(gè)空號(hào)，且不同銀行的客戶(hù)服務(wù)熱線(xiàn)并不一致，并不存在能凍結(jié)所有銀行網(wǎng)銀的通用電話(huà)。

怎樣保護(hù)個(gè)人賬號(hào)？

 

雖然“視頻盜號(hào)”不真實(shí)，但保護(hù)好個(gè)人賬號(hào)仍很必要，應(yīng)當(dāng)注意以下幾點(diǎn)：

 

1. 看管好自己的手機(jī)。

 

2. 不隨意點(diǎn)擊/掃描不明來(lái)源的鏈接或二維碼，避免登錄釣魚(yú)網(wǎng)站。

 

3. 不隨意透露密碼和短信驗(yàn)證碼。尤其是在接到所謂的“客服電話(huà)”“警方電話(huà)”等，務(wù)必向真正的客服或警方核實(shí)真?zhèn)�，真正的客服和警方并不�?huì)索取密碼、短信驗(yàn)證碼等。

 

4. 下載“國(guó)家反詐中心”App并注冊(cè)。

來(lái)源：上海網(wǎng)絡(luò)辟謠