刷脸支付安全可靠吗,刷脸支付漏洞是真的吗
案件发生在2020年12月26日,被告人黄某辉以商量还钱的名义来到前女友董某家中,看到董某正在生病,还主动做饭喂药。然而,让董某没想到的是,喝完黄某辉亲手冲泡的“感冒药”很快就感觉不适,不得不回屋睡觉。
南宁市兴宁区法院刑事审判庭法官 李到福:黄某利用冲感冒药的时机,在厨房里把他购
央视网消息:日前,广西南宁市兴宁区法院审理了一起特殊的盗窃案。被告人趁其前女友昏睡时,先后通过指纹和人脸验证从女子手机中多次转走共计15万余元。在不知道手机解锁和支付密码的情况下,被告人是如何作案成功的呢?
案件发生在2020年12月26日,被告人黄某辉以商量还钱的名义来到前女友董某家中,看到董某正在生病,还主动做饭喂药。然而,让董某没想到的是,喝完黄某辉亲手冲泡的“感冒药”很快就感觉不适,不得不回屋睡觉。
南宁市兴宁区法院刑事审判庭法官 李到福:黄某利用冲感冒药的时机,在厨房里把他购买的迷药倒进水中,董某饮用之后约一个小时后就感觉有点异常,头晕。
客厅视频显示,董某进卧室昏睡后,黄某辉在客厅里来回翻找董某手机。半个多小时后,黄某辉手拿两部手机从卧室走出,其中一部就是已经解锁的董某手机。对着手机多次操作后,黄某辉带着这部手机连夜离开了董某的家。
南宁市兴宁区法院刑事审判庭法官 李到福:被告人黄某辉就利用被害人董某昏睡的时间,用她的手指将她的手机进行了解锁,并且用手扒开董某的眼睛,登录到被害人董某的支付宝里面,修改了相关的(支付)密码,在支付宝里面进行转款。
次日凌晨,董某醒来,发现黄某辉和手机都不见了踪影,立即报警。警方查明,黄某辉当晚分多次从董某的花呗、借呗、支付宝余额和银行卡转走人民币共15.41万元。近日,南宁市兴宁区人民法院对该案作出一审判决,黄某辉因犯盗窃罪被判处有期徒刑三年零六个月,并处罚金人民币两万元,责令其退赔被害人董某全部经济损失。
本案中,黄某辉就是通过支付宝趁董某昏睡时完成了一系列转账盗窃行为。在不知道登录和支付密码的情况下,真的可以翻开机主眼皮转账吗?记者找来了多款手机进行验证。
记者找来了四款具备人脸识别功能的手机,全部输入同事的人脸和指纹信息。记者注意到,其中一款上市定价千元左右的安卓手机在添加人脸时就明确显示,该手机采用的是2D人脸识别技术,并提示人脸识别安全性低于图案密码、数字密码、混合密码和指纹。首先进行手机解锁的测试。记者让同事平躺闭眼,并在眼皮被动翻开时有意不看手机屏幕,模拟人的睡眠无意识状态。试验发现,当同事眼皮被动翻开后,手机屏幕很快就顺利解锁。
同样方式,记者接着验证了两款上市定价分别为3000多元和6000多元的安卓手机,还有一款定价近万元的苹果手机。记者发现,无论如何变化角度,多次翻动同事眼皮,这三款手机都无法解锁。
记者发现,打开指纹解锁功能的手机在机主熟睡状态下都可以通过贴近手指解锁。如果熟人偷窥开机密码解锁了手机,在不知道支付宝登录和支付密码情况下,能否转账成功呢?记者继续用这四款手机进行手机支付的验证。结果发现,在登录支付宝时,系统提示可以使用刷脸验证身份,并要求被验证人眨眼。记者像刚才一样翻开模拟睡眠状态的同事眼皮,随后放下,意想不到的是,四款手机全部通过了人脸加眨眼的验证,成功登录支付宝。
案件中,黄某辉通过翻开被害人眼皮登录支付宝后,为方便多次转账还直接修改了支付密码。记者继续验证,在支付宝里点击修改支付密码,选择不记得此前支付密码就直接进入和找回登录密码一样的人脸验证界面。记者翻动同事眼皮,四款手机无一例外也都通过了验证。
一旦修改了支付密码,通过支付宝就能轻而易举实现多次转账。对于案件暴露出的刷脸支付风险,支付宝是否知晓呢?记者拨通了支付宝客服的电话。
支付宝客服:人脸识别都是用一个活物识别,别人在您睡觉的时候去进行一个扫脸的话,正常情况下是没有办法通过的。这种案件出现,大多数不是因为支付宝的安全有问题,它主要是他人操作过她的(手机)。
手机一旦被别人操作,其他支付类软件是否也能被翻眼皮支付或转账呢?记者用四款手机测试微信发现,定价6000多元的安卓手机和新款苹果手机向好友转账可以使用面容支付,遇到的是和手机解锁一样的人脸验证界面。记者翻开同事眼皮多次尝试,都无法通过验证。而两款定价较低的安卓手机虽然也支持面容解锁,但微信支付中只能选择指纹和密码两种方式。记者选择指纹支付,用手机轻触同事手指后轻松实现成功转账。若想修改微信支付密码方便多次转账,四款手机显示的界面一样,只能输入原支付密码,而且都不提供刷脸或指纹的验证方式。
记者也随机测试了几款银行APP,发现银行APP转账支付时也都不支持面容和指纹支付,如果不知道取款密码均无法顺利转账。其中部分银行APP登录时验证就十分严格,即使通过了手机验证码验证,还要进行人脸识别,并要求完成眨眼、摇头和张嘴三项动作。记者让同事假装熟睡,多次尝试被翻眼皮或被动转头,都不能通过验证,更何况人在睡眠状态下很难被动完成三个动作而不被惊醒。
为什么人在无意识状态下被翻动一下眼皮就可以解锁?不同的支付软件为何会采用不同的验证方式?如何让刷脸支付更安全?我们来听听专家的解读和建议。
田天是清华大学人工智能博士,一直致力于人工智能的安全技术提升。他告诉记者,无论是低价位手机使用的2D人脸识别技术,还是具备3D人脸识别技术的中高端手机,都可能出现被动翻开眼皮通过人脸验证的情况。
正因如此,目前大多软件会在人脸识别基础上增加活体验证技术,就是需要做出点头、眨眼、摇头的动作。一般来说,需要验证的动作越多,被突破的难度越大。据介绍,记者验证的相对高端的手机无法通过被翻眼皮解锁,核心是加入了注视检测技术。被测试人在被动翻开眼皮时模拟睡眠状态,避免视线直视屏幕,所以无法解锁手机。
专家表示,理论上,验证技术环节越多,安全性越高。但在实际操作中,如果将安全等级调至最高,重重认证,必定会让便捷性受到影响,用户体验大打折扣。相比银行APP,支付宝在活体验证时只有眨眼一个动作,微信在部分型号手机只验证指纹就能转账,除了技术路线的区别,也有市场策略的选择。
清华大学人工智能国际治理研究院副院长 梁正:像这种支付的应用,一定要做到安全性和便捷性的平衡,如果特别复杂,那我干脆就不用了,我可以用其他的。
梁正是清华大学人工智能国际治理研究院副院长,长期关注人工智能推广应用中的公共政策。他告诉记者,2021年11月1日正式实施的《中华人民共和国个人信息保护法》明确规定,“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。
手机支付作为影响个人财产安全的重大决定,支付软件不能自动化决策,只提供刷脸或指纹这一种方式。目前支付宝、微信有刷脸、密码和指纹等多种验证方式供选择,是符合《个人信息保护法》规定的。但是具体到使用刷脸验证这一场景时,是否要张嘴、摇头或注视检测等多项验证,法律并没有详尽规定。专家建议,针对刷脸验证的具体方式和环节,软件也可以设置不同安全等级,让用户根据需要自主选择,而不是被动地接受软件设置。
清华大学人工智能国际治理研究院副院长 梁正:法律不可能规定这么细,(细化)要跟这个行业的实践紧密结合。在使用(刷脸支付)的时候就要有一个风险提示,是不是要设置更高的安全等级,作为一个前置性要求,(发生意外后)是不是还能够提供一个救济的方案,我觉得行业、业界还可以去考虑。
专家强调,人脸识别同密码、指纹等传统身份认证技术一样都存在一定被攻破的概率,现阶段尚不存在百分之百安全的技术。对于安全风险比较高的用户或者在浴室、美容院等公共空间休息的特定场景,可以彻底关闭手机设置中的刷脸和指纹识别功能,从而在解锁手机和支付验证时不会出现刷脸和指纹的选项。
来源: 央视网
文章评论