最近
與人臉識别安全性相關的話題不少
據《南甯晚報》報道,有一男子趁前女友昏睡時,用女友的指紋解鎖了女友的手機,并翻開她的眼皮,利用人臉識别從手機轉走15.41萬元;
《南甯晚報》的報道
還有人聲稱有微信使用者接通舅媽的視訊通話後,視訊裡沒有舅媽也沒有人說話,但幾分鐘後,微信賬戶就被盜了…
“接了舅媽的視訊電話就被盜号”在網上流傳很廣
這些消息都是真的嗎?
解放日報·上觀新聞記者進行了實測發現
“翻眼皮”還真可能被轉賬
但視訊遠端盜号,可能性很小
【實驗一】
嘗試翻他人眼皮解鎖手機并進行轉賬
【結果】
部分安卓手機成功了,蘋果手機失敗了
對于“男子翻前女友眼皮偷錢”的消息,有網友評論:被翻眼皮不會醒嗎?從新聞報道看,該女子當時正好生病,還喝下了感冒藥,不排除睡得比較沉的情況。
那麼,假如在熟睡狀态下被人翻眼皮,到底能不能解開基于人臉識别技術設定的手機密碼和賬戶密碼?
記者的一名小夥伴主動閉上眼睛假裝熟睡并拿起自己的手機對着正臉,另一名小夥伴則輕輕地翻起她的眼皮試圖解鎖開機。實驗結果顯示,這一操作确實能解開部分安卓手機的鎖屏,并且通過第三方支付軟體的人臉識别認證,完成轉賬。蘋果手機顯示識别不成功,需要開機者輸入解鎖密碼。
“翻眼皮”解鎖了部分安卓手機
“翻眼皮”未能解鎖蘋果手機
“翻眼皮”通過了第三方支付App的驗證,成功轉賬
解讀:雖然通過翻眼皮成功解開了部分安卓手機的鎖屏并完成了轉賬,但業内人士表示,這并不意味着安卓手機或相關App不安全。
因為人臉識别技術的基礎是“人臉”。在“翻眼皮”實驗中,對象正是使用者本人,如果“翻眼皮”這一動作的實施沒有過度遮擋人臉,手機和相關App的識别系統就會正常工作,進而完成解鎖。通俗地說,手機或者相關App無法判斷使用者是主動睜眼進行人臉識别,還是被迫睜眼進行人臉識别。
當然,不同手機所應用的人臉識别技術有差別,會帶來不一樣的解鎖效果。
比如,蘋果手機之是以沒有識别“被翻眼皮的人臉”,一個重要原因是其運用了人臉的3D資訊進行驗證。簡單來說,就是手機将成千上萬個肉眼不可見的光點投影在人的臉部,由于臉部不同部位高低不同,這些光點的反射線就能繪制出一個立體的臉部3D模型,再結合前置攝像頭拍攝的可見光人臉,用算法将人臉紋理與3D模型結合,進而得到“是不是本人使用”“能不能解鎖”的結果。當使用者被人翻眼皮時,投射的部分光點被遮掩,進而難以建構一個完整的人臉3D模型,這就導緻手機給出了識别不成功的信号。
人臉識别3D模組化模拟圖(圖檔來源:蘋果官網)
是以,3D人臉識别能防止平面的紙張(如照片)、視訊等人臉攻擊手段;再加上投射的光點數量夠多并結合人臉紋理拍攝,能較好地防止使用面具進行解鎖。
安卓陣營的手機使用的人臉識别技術并不一緻,有些使用3D成像,有些用的是比對臉部關鍵資訊點。如果“翻眼皮”的動作沒有影響到這些關鍵點,手機被破解屬于正常現象。
可見,要防止媒體報道中的“被翻眼皮轉賬”,歸根結底還是管好自己的手機。需要提醒的是,“翻别人眼皮轉賬”的行為涉嫌盜竊。據《南甯晚報》報道,轉走前女友錢款的男子就因盜竊罪被依法判處有期徒刑三年六個月,并處罰金2萬元。
【實驗二】
通過視訊通話解鎖手機螢幕
均失敗
“翻眼皮”可以解鎖部分手機,那麼通過視訊電話能通過系統的人臉識别并實作盜号嗎?
由于蘋果手機采取3D資訊驗證技術,能夠防止照片、視訊等建構的“假臉”,是以這次實驗隻測試了安卓手機,而且是能通過“翻眼皮解鎖”的手機。
解鎖中,測試手機對着視訊中的人臉識别了很久,最終仍舊表示“識别失敗”,未能成功解鎖。同樣的,各種第三方支付軟體均不能通過識别“視訊人臉”進行轉賬或支付。
視訊解鎖手機失敗
解讀:人臉識别技術的關鍵之一是進行活體識别,即識别的是活生生的人,而不是視訊或照片。是以,類似照片、視訊這樣平面的“假臉”“假人”,是人臉識别技術要剔除的最基本的僞裝。在這點上,絕大多數手機企業都已有技術積累,“視訊解鎖”的機率非常低。
同時,類似微信、支付寶、各大銀行的網銀等涉及支付的App對安全性要求很高,通常都需要多元驗證,包括裝置、密碼、使用環境、使用習慣等。平時,人們感受的“刷臉登入”“刷臉轉賬”背後,是安全系統對以上次元綜合判斷後給出的服務。在絕大多數情況下,如果使用者換了一台手機,不通過其他次元的驗證,很難立刻獲得“刷臉登入”“刷臉轉賬”的便捷。
以微信為例,如果僅掌握他人的微信賬戶(微信号或手機号)卻沒有密碼而想獲得密碼,那麼按照微信安全中心的官方指引,有三種方式:已綁定的手機号+短信驗證碼登入;已綁定的QQ号+QQ密碼;已綁定的郵箱重設密碼。不論是哪種方式,都難以輕易獲得對應的密碼。
而且,即便掌握了賬号和密碼,想在非本人使用的手機上登入微信賬号,還得“過關”。微信官方提供三種方式:手機短信驗證、原手機掃碼驗證、邀請好友驗證。但在網傳視訊中,“受害人”的手機一直在自己手上,隻是打了幾分鐘視訊電話,就被盜号,可能嗎?有技術人員笑稱,如果視訊就能盜号解鎖,那麼網絡上的高清視訊都能成為犯罪工具,且明星更容易成為此類手法攻擊的對象——因為他們的高清臉部細節和動态畫面頻繁出現在公開場合。
記者求證時還發現,網傳視訊和提醒漏洞百出。相關視訊大多是擺拍。視訊中,“被害人”看到的通話頁面中既沒有通話對象,也沒有手機或攝像頭,而是雜亂無章的物品。換句話說,“被害人”并沒有看到網絡那邊的攝像頭,這又是怎麼被“盜臉”了呢?另一個“硬傷”是,部分視訊和文章在末尾看似貼心地提醒,如果遭遇盜号,可以撥打熱線電話“9555”當機網銀。但是,“9555”是一個空号,且不同銀行的客戶服務熱線并不一緻,并不存在能當機所有銀行網銀的通用電話。
網傳視訊和資訊漏洞百出
那麼
應該如何保護個人賬号呢?
雖然“視訊盜号”不真實,但保護好個人賬号仍很必要,應當注意以下幾點:
1、看管好自己的手機。
2、不随意點選/掃描不明來源的連結或二維碼,避免登入釣魚網站。
3、不随意透露密碼和短信驗證碼。尤其是在接到所謂的“客服電話”“警方電話”等,務必向真正的客服或警方核實真僞,真正的客服和警方并不會索取密碼、短信驗證碼等。
4、下載下傳“國家反詐中心”App并注冊。
來源:上觀新聞