翻他人眼皮能解鎖支付工具偷錢?實測結(jié)果來了
最近,與人臉識別安全性相關(guān)的話題不少:據(jù)《南寧晚報》報道,有一男子趁前女友昏睡時,用女友的指紋解鎖了女友的手機,并翻開她的眼皮,利用人臉識別從手機轉(zhuǎn)走15.41萬元;還有一條消息在社交媒體傳播,聲稱有微信用戶接通舅媽的視頻通話后,視頻里沒有舅媽也沒有人說話,但幾分鐘后,微信賬戶就被盜了……這些消息都是真的嗎?
南寧晚報的報道
網(wǎng)傳“與舅媽視頻通話被盜號”消息
解放日報·上觀新聞記者進(jìn)行了實測,發(fā)現(xiàn)“翻眼皮”還真可能被轉(zhuǎn)賬;但視頻遠(yuǎn)程盜號,可能性很小。
實驗一
翻他人眼皮解鎖手機并轉(zhuǎn)賬
結(jié)果:部分安卓手機成功了,蘋果手機失敗了。
對于“男子翻前女友眼皮偷錢”的消息,有網(wǎng)友評論:被翻眼皮不會醒嗎?從新聞報道看,該女子當(dāng)時正好生病,還喝下了感冒藥,不排除睡得比較沉的情況。那么,假如在熟睡狀態(tài)下被人翻眼皮,到底能不能解開基于人臉識別技術(shù)設(shè)置的手機密碼和賬戶密碼?
記者的一名小伙伴主動閉上眼睛假裝熟睡并拿起自己的手機對著正臉,另一名小伙伴則輕輕地翻起她的眼皮試圖解鎖開機。實驗結(jié)果顯示,這一操作確實能解開部分安卓手機的鎖屏,并且通過第三方支付軟件的人臉識別認(rèn)證,完成轉(zhuǎn)賬。蘋果手機顯示識別不成功,需要開機者輸入解鎖密碼。
“翻眼皮”解鎖了部分安卓手機
解讀:雖然通過翻眼皮成功解開了部分安卓手機的鎖屏并完成了轉(zhuǎn)賬,但這并不意味著安卓手機或相關(guān)App不安全。
因為人臉識別技術(shù)的基礎(chǔ)是“人臉”。在“翻眼皮”實驗中,對象正是用戶本人,如果“翻眼皮”這一動作的實施沒有過度遮擋人臉,手機和相關(guān)App的識別系統(tǒng)就會正常工作,從而完成解鎖。通俗地說,手機或者相關(guān)App無法判斷用戶是主動睜眼進(jìn)行人臉識別,還是被迫睜眼進(jìn)行人臉識別。
當(dāng)然,不同手機所應(yīng)用的人臉識別技術(shù)有區(qū)別,會帶來不一樣的解鎖效果。
比如,蘋果手機之所以沒有識別“被翻眼皮的人臉”,一個重要原因是其運用了人臉的3D信息來識別人臉。簡單來說,就是手機將成千上萬個肉眼不可見的光點投影在人的臉部,由于臉部不同部位高低不同,這些光點的反射線就能繪制出一個立體的臉部3D模型,再結(jié)合前置攝像頭拍攝的可見光人臉,用算法將人臉的紋理與3D模型結(jié)合,從而得到“是不是本人使用”“能不能解鎖”的結(jié)果。當(dāng)用戶被人翻眼皮時,投射的部分光點被遮掩,從而難以構(gòu)建一個完整的人臉3D模型,這就導(dǎo)致手機給出了識別不成功的信號。
3D建模模擬圖(來源:蘋果官網(wǎng))
因此,3D人臉識別能防止平面的紙張(如照片)、視頻等人臉攻擊手段;再加上投射的光點數(shù)量夠多并結(jié)合人臉紋理拍攝,能較好地防止使用面具進(jìn)行解鎖。
安卓陣營的手機使用的人臉識別技術(shù)并不一致,有些使用3D成像,有些用的是比對臉部關(guān)鍵信息點。所以,如果“翻眼皮”的動作沒有影響到這些關(guān)鍵點,手機被破解屬于正常現(xiàn)象。
可見,要防止媒體報道中的“被翻眼皮轉(zhuǎn)賬”,歸根結(jié)底還是管好自己的手機。
需要提醒的是,“翻別人眼皮轉(zhuǎn)賬”的行為涉嫌盜竊。據(jù)南寧晚報報道,轉(zhuǎn)走前女友錢款的男子就因盜竊罪被依法判處有期徒刑三年六個月,并處罰金2萬元。
實驗二
通過視頻通話解鎖手機屏幕
結(jié)果:均失敗。
“翻眼皮”可以解鎖部分手機,那么通過視頻電話能通過系統(tǒng)的人臉識別并實現(xiàn)盜號嗎?
由于蘋果手機采取3D信息驗證技術(shù),能夠防止照片、視頻等構(gòu)建的“假臉”,所以這次實驗只測試了安卓手機,而且是能通過“翻眼皮解鎖”的手機。
解鎖中,測試手機對著視頻中的人臉識別了很久,最終仍舊表示“識別失敗”,未能成功解鎖。同樣的,各種第三方支付軟件均不能通過識別“視頻人臉”進(jìn)行轉(zhuǎn)賬或支付。
視頻通話里的臉部未能解鎖手機
解讀:人臉識別技術(shù)的關(guān)鍵之一是進(jìn)行活體識別,即識別的是活生生的人,而不是視頻或照片。所以,類似照片、視頻這樣平面的“假臉”“假人”,是人臉識別技術(shù)要剔除的最基本的偽裝。在這點上,絕大多數(shù)手機企業(yè)都已有技術(shù)積累,“視頻解鎖”的概率非常低。
同時,類似微信、支付寶、各大銀行的網(wǎng)銀等涉及支付的App對安全性要求很高,通常都需要多維驗證,包括設(shè)備、密碼、使用環(huán)境、使用習(xí)慣等。平時,人們感受的“刷臉登錄”“刷臉轉(zhuǎn)賬”背后,是安全系統(tǒng)對以上維度綜合判斷后給出的服務(wù)。在絕大多數(shù)情況下,如果用戶換了一臺手機,不通過其他維度的驗證,很難立刻獲得“刷臉登錄”“刷臉轉(zhuǎn)賬”的便捷。
以微信為例,如果僅掌握他人的微信賬戶(微信號或手機號)卻沒有密碼,而想獲得密碼,那么按照微信安全中心的官方指引,有三種方式:已綁定的手機號+短信驗證碼登錄;已綁定的QQ號+QQ密碼;已綁定的郵箱重設(shè)密碼。不論是哪種方式,都難以輕易獲得對應(yīng)的密碼。
而且,即便掌握了賬號和密碼,想在非本人使用的手機上登錄微信賬號,還得“過關(guān)”。微信官方提供三種方式:手機短信驗證、原手機掃碼驗證、邀請好友驗證。但在網(wǎng)傳視頻中,“受害人”的手機一直在自己手上,只是打了幾分鐘視頻電話,就被盜號,可能嗎?有技術(shù)人員笑稱,如果視頻就能盜號解鎖,那么網(wǎng)絡(luò)上的高清視頻都能成為犯罪工具,且明星更容易成為此類手法攻擊的對象——因為他們的高清臉部細(xì)節(jié)和動態(tài)畫面頻繁出現(xiàn)在公開場合。
記者求證時還發(fā)現(xiàn),網(wǎng)傳視頻漏洞百出。相關(guān)視頻大多是擺拍。視頻中,“被害人”看到的通話頁面中既沒有通話對象,也沒有手機或攝像頭,而是雜亂無章的物品。換句話說,“被害人”并沒有看到網(wǎng)絡(luò)那邊的攝像頭,這又是怎么被“盜臉”了呢?
另一個“硬傷”是,部分視頻在末尾看似貼心地提醒,如果遭遇盜號,可以撥打熱線電話“9555”凍結(jié)網(wǎng)銀。但是,“9555”是一個空號,且不同銀行的客戶服務(wù)熱線并不一致,并不存在能凍結(jié)所有銀行網(wǎng)銀的通用電話。
怎樣保護個人賬號?
雖然“視頻盜號”不真實,但保護好個人賬號仍很必要,應(yīng)當(dāng)注意以下幾點:
1. 看管好自己的手機。
2. 不隨意點擊/掃描不明來源的鏈接或二維碼,避免登錄釣魚網(wǎng)站。
3. 不隨意透露密碼和短信驗證碼。尤其是在接到所謂的“客服電話”“警方電話”等,務(wù)必向真正的客服或警方核實真?zhèn)危嬲目头途讲⒉粫魅∶艽a、短信驗證碼等。
4. 下載“國家反詐中心”App并注冊。
責(zé)編:周曉明
來源:人民日報客戶端