正文内容 评论(0)
今天刷到的一个社会新闻,差点没让世超吐出一口老血。
说是某黄姓男子因为欠下赌债,四处筹钱未果,最后动起了前女友的歪脑筋。
他先打电话和前女友董某寻求复合,并承诺会偿还在恋爱期间问董某借的 6 万多人民币。
随后黄某施展 “ 糖衣炮弹 ” 的战术,百般体贴,上午打完电话,下午就来到前女友家,主动为她下厨做饭、冲服感冒药剂。
在药效之下,董小姐放下戒备昏睡过去,此时黄某偷偷用指纹解锁了前女友的手机,并翻开他的眼皮,利用人脸识别转走了 15.41 万元。
还好女生醒来之后,立马报案,警察在第一时间逮捕了她的前男友。
事儿就是这么个狗血事儿,但里面 “ 扒眼皮人脸解锁转账 ” 的骚操作,还是让世超有些好奇。
还能这么搞?
如果说,在昏睡情况下拿指纹解锁开手机、转账还有一些可操作性,那用扒开的眼皮来解锁支付级别的手机转账,听着就有点离谱了。
人是睡死了,可手机的安全系统难道也死了?现在的手机能有这么大的漏洞?
为了找出人脸支付识别的逻辑,世超打算复现一下黄某的这波极限操作。
我找来了办公室里和蔼可亲的米罗老师,借来了他的身子和他的手机,做了几组测试。
结果还挺出乎意料的。
我们模拟在辛苦了工作了一天之后,正准备放下手机睡觉的米罗老师,被 “ 恶人世超 ” 突袭的场景。
“ 没日没夜的打工人,没刷一会儿手机,就累躺下睡着了。 ” ▼
在米罗老师躺下没一会儿之后,一只罪恶的肥手伸向了米罗胸前的小米 10 Pro 。
他熟练的抓起这个熟睡男人的右手拇指,在轻摁了一下过后,手机咔哒一下解开了。
伴随着在米罗的一呼一吸,手机上的支付宝 App 被打开了,恶人世超熟练的点开了通讯录中的某一个联系人,摁下转账键,输入了一笔巨款应该匹配的数字。
这时候的米罗还不知道,他熟睡的脸庞正在被当作犯罪的工具,幸好双眼紧闭的他,还没有被手机认证锁识别出来。
此时,气急败坏的世超直接一招 “ 双龙戏珠 ” ,扒开了受害者的双眼皮,可怜的米罗正在熟睡之中毫不知情,而他辛苦存下的巨款,已经在不知不觉中被转走了。
当然了,制作这些视频片段时并没有人受到伤害,米罗在毫不知情的情况下完成了拍摄。
在这段体验中,米罗表示被周围人动手动脚的感觉,还是相当明显的,不过要是真的昏睡过去,有没有知觉还真不好说。
接下来我们还测试了扒单眼解锁的集中情况,在遮住一只眼睛的情况下,是能成功识别解锁的。
甚至在只扒开一直眼的情况下,遮住另一只眼睛,也能解锁。
可这种办法成功的概率并不高,对面部识别的容错极小,世超来来回回开启关闭了面部识别好几次之后,才尝试成功。
失败次数多了之后,支付宝系统会直接锁掉面部支付。▼
这几轮测试下来,世超对于安卓手机用支付宝脸部付款的结论是: “ 在监测到机主有闭眼的情况下,支付是不会成功的。 ”
所以只要保证不让镜头识别到机主闭着的眼睛,就能通过认证,理论上就可以神不知鬼不觉的把钱款转移走。
然而在主打 3D 结构光 Face id 面部解锁的 iPhone 平台,闭起眼一只眼睛倒是可以解锁的,遮挡脸部或者掰开眼皮这样的操作反而是不行。
闭一只眼 ▼
遮挡脸部或者掰眼 ▼
世超做这个实验,不是想找出支付宝人脸识别的漏洞( 毕竟也不是很严谨,没有测试暗光环境 ),关键还是想吐槽黄某的这波操作难度有多高。
要知道,拿手机对准别人的脸部识别的同时,还要掰开两只眼睛( 或者是挡住一只眼睛掰开一只眼睛 ),这难度要是没有第三只手,还真的挺难搬到的。
细思极恐。
不过你要是个技术宅,真的用 Deepfake 虚拟张假脸来解锁别人的手机( 有 Face ID 的 iPhone 可能不太行 ),也可以做到破解,没什么太大难度。
央视报道过相关的新闻。▼
不管怎么说,支付宝的安全系数还是比较高的,退 10000 步讲,要真碰上专业黑客来偷你的钱,人支付宝也是敢承诺赔付的。
但千防万防,家贼难防,就怕和这位董小姐一样,遇上枕边人吧眼皮转账,那要怪,也只能怪自己遇人不淑了。