最近,与人脸识别安全性相关的话题不少:据《南宁晚报》报道,有一男子趁前女友昏睡时,用女友的指纹解锁了女友的手机,并翻开她的眼皮,利用人脸识别从手机转走15.41万元;还有一条消息在社交媒体传播,声称有微信用户接通舅妈的视频通话后,视频里没有舅妈也没有人说话,但几分钟后,微信账户就被盗了……这些消息都是真的吗?
南宁晚报的报道↑
网传“与舅妈视频通话被盗号”消息↑解放日报·上观新闻记者进行了实测,发现“翻眼皮”还真可能被转账;但视频远程盗号,可能性很小。
【实验一】
翻他人眼皮解锁手机并转账
结果:部分安卓手机成功了,苹果手机失败了。
对于“男子翻前女友眼皮偷钱”的消息,有网友评论:被翻眼皮不会醒吗?从新闻报道看,该女子当时正好生病,还喝下了感冒药,不排除睡得比较沉的情况。那么,假如在熟睡状态下被人翻眼皮,到底能不能解开基于人脸识别技术设置的手机密码和账户密码?
记者的一名小伙伴主动闭上眼睛假装熟睡并拿起自己的手机对着正脸,另一名小伙伴则轻轻地翻起她的眼皮试图解锁开机。实验结果显示,这一操作确实能解开部分安卓手机的锁屏,并且通过第三方支付软件的人脸识别认证,完成转账。苹果手机显示识别不成功,需要开机者输入解锁密码。
网传“与舅妈视频通话被盗号”消息↑解放日报·上观新闻记者进行了实测,发现“翻眼皮”还真可能被转账;但视频远程盗号,可能性很小。
【实验一】
翻他人眼皮解锁手机并转账
结果:部分安卓手机成功了,苹果手机失败了。
对于“男子翻前女友眼皮偷钱”的消息,有网友评论:被翻眼皮不会醒吗?从新闻报道看,该女子当时正好生病,还喝下了感冒药,不排除睡得比较沉的情况。那么,假如在熟睡状态下被人翻眼皮,到底能不能解开基于人脸识别技术设置的手机密码和账户密码?
记者的一名小伙伴主动闭上眼睛假装熟睡并拿起自己的手机对着正脸,另一名小伙伴则轻轻地翻起她的眼皮试图解锁开机。实验结果显示,这一操作确实能解开部分安卓手机的锁屏,并且通过第三方支付软件的人脸识别认证,完成转账。苹果手机显示识别不成功,需要开机者输入解锁密码。
解读:虽然通过翻眼皮成功解开了部分安卓手机的锁屏并完成了转账,但这并不意味着安卓手机或相关App不安全。
因为人脸识别技术的基础是“人脸”。在“翻眼皮”实验中,对象正是用户本人,如果“翻眼皮”这一动作的实施没有过度遮挡人脸,手机和相关App的识别系统就会正常工作,从而完成解锁。通俗地说,手机或者相关App无法判断用户是主动睁眼进行人脸识别,还是被迫睁眼进行人脸识别。
当然,不同手机所应用的人脸识别技术有区别,会带来不一样的解锁效果。
比如,苹果手机之所以没有识别“被翻眼皮的人脸”,一个重要原因是其运用了人脸的3D信息来识别人脸。简单来说,就是手机将成千上万个肉眼不可见的光点投影在人的脸部,由于脸部不同部位高低不同,这些光点的反射线就能绘制出一个立体的脸部3D模型,再结合前置摄像头拍摄的可见光人脸,用算法将人脸的纹理与3D模型结合,从而得到“是不是本人使用”“能不能解锁”的结果。当用户被人翻眼皮时,投射的部分光点被遮掩,从而难以构建一个完整的人脸3D模型,这就导致手机给出了识别不成功的信号。
“翻眼皮”解锁了部分安卓手机↑解读:虽然通过翻眼皮成功解开了部分安卓手机的锁屏并完成了转账,但这并不意味着安卓手机或相关App不安全。
因为人脸识别技术的基础是“人脸”。在“翻眼皮”实验中,对象正是用户本人,如果“翻眼皮”这一动作的实施没有过度遮挡人脸,手机和相关App的识别系统就会正常工作,从而完成解锁。通俗地说,手机或者相关App无法判断用户是主动睁眼进行人脸识别,还是被迫睁眼进行人脸识别。
当然,不同手机所应用的人脸识别技术有区别,会带来不一样的解锁效果。
比如,苹果手机之所以没有识别“被翻眼皮的人脸”,一个重要原因是其运用了人脸的3D信息来识别人脸。简单来说,就是手机将成千上万个肉眼不可见的光点投影在人的脸部,由于脸部不同部位高低不同,这些光点的反射线就能绘制出一个立体的脸部3D模型,再结合前置摄像头拍摄的可见光人脸,用算法将人脸的纹理与3D模型结合,从而得到“是不是本人使用”“能不能解锁”的结果。当用户被人翻眼皮时,投射的部分光点被遮掩,从而难以构建一个完整的人脸3D模型,这就导致手机给出了识别不成功的信号。
3D建模模拟图(来源:苹果官网)↑
因此,3D人脸识别能防止平面的纸张(如照片)、视频等人脸攻击手段;再加上投射的光点数量够多并结合人脸纹理拍摄,能较好地防止使用面具进行解锁。
安卓阵营的手机使用的人脸识别技术并不一致,有些使用3D成像,有些用的是比对脸部关键信息点。所以,如果“翻眼皮”的动作没有影响到这些关键点,手机被破解属于正常现象。
可见,要防止媒体报道中的“被翻眼皮转账”,归根结底还是管好自己的手机。
需要提醒的是,“翻别人眼皮转账”的行为涉嫌盗窃。据南宁晚报报道,转走前女友钱款的男子就因盗窃罪被依法判处有期徒刑三年六个月,并处罚金2万元。
【实验二】
通过视频通话解锁手机屏幕
结果:均失败。
“翻眼皮”可以解锁部分手机,那么通过视频电话能通过系统的人脸识别并实现盗号吗?
由于苹果手机采取3D信息验证技术,能够防止照片、视频等构建的“假脸”,所以这次实验只测试了安卓手机,而且是能通过“翻眼皮解锁”的手机。
解锁中,测试手机对着视频中的人脸识别了很久,最终仍旧表示“识别失败”,未能成功解锁。同样的,各种第三方支付软件均不能通过识别“视频人脸”进行转账或支付。
视频通话里的脸部未能解锁手机↑
解读:人脸识别技术的关键之一是进行活体识别,即识别的是活生生的人,而不是视频或照片。所以,类似照片、视频这样平面的“假脸”“假人”,是人脸识别技术要剔除的最基本的伪装。在这点上,绝大多数手机企业都已有技术积累,“视频解锁”的概率非常低。
同时,类似微信、支付宝、各大银行的网银等涉及支付的App对安全性要求很高,通常都需要多维验证,包括设备、密码、使用环境、使用习惯等。平时,人们感受的“刷脸登录”“刷脸转账”背后,是安全系统对以上维度综合判断后给出的服务。在绝大多数情况下,如果用户换了一台手机,不通过其他维度的验证,很难立刻获得“刷脸登录”“刷脸转账”的便捷。
以微信为例,如果仅掌握他人的微信账户(微信号或手机号)却没有密码,而想获得密码,那么按照微信安全中心的官方指引,有三种方式:已绑定的手机号+短信验证码登录;已绑定的QQ号+QQ密码;已绑定的邮箱重设密码。不论是哪种方式,都难以轻易获得对应的密码。
而且,即便掌握了账号和密码,想在非本人使用的手机上登录微信账号,还得“过关”。微信官方提供三种方式:手机短信验证、原手机扫码验证、邀请好友验证。但在网传视频中,“受害人”的手机一直在自己手上,只是打了几分钟视频电话,就被盗号,可能吗?有技术人员笑称,如果视频就能盗号解锁,那么网络上的高清视频都能成为犯罪工具,且明星更容易成为此类手法攻击的对象——因为他们的高清脸部细节和动态画面频繁出现在公开场合。
记者求证时还发现,网传视频漏洞百出。相关视频大多是摆拍。视频中,“被害人”看到的通话页面中既没有通话对象,也没有手机或摄像头,而是杂乱无章的物品。换句话说,“被害人”并没有看到网络那边的摄像头,这又是怎么被“盗脸”了呢?
另一个“硬伤”是,部分视频在末尾看似贴心地提醒,如果遭遇盗号,可以拨打热线电话“9555”冻结网银。但是,“9555”是一个空号,且不同银行的客户服务热线并不一致,并不存在能冻结所有银行网银的通用电话。
怎样保护个人账号?
虽然“视频盗号”不真实,但保护好个人账号仍很必要,应当注意以下几点:
1. 看管好自己的手机。
2. 不随意点击/扫描不明来源的链接或二维码,避免登录钓鱼网站。
3. 不随意透露密码和短信验证码。尤其是在接到所谓的“客服电话”“警方电话”等,务必向真正的客服或警方核实真伪,真正的客服和警方并不会索取密码、短信验证码等。
4. 下载“国家反诈中心”App并注册。
来源:上海网络辟谣(任翀)
监制:荆克
监审:董晓
编辑:周文婧
