據《寧波晚報》4月6日報道,在寧波某餐廳當傳菜工的袁先生近日在熟睡時被室友劉某、楊某通過手機刷臉支付的方式,盜刷了銀行卡中一萬多元存款。經警方調查,劉某、楊某趁袁先生睡熟,拿起袁先生放在床頭的手機,掃了袁先生的臉解鎖後進入手機支付平臺,刷臉轉走了存款。
人在熟睡中究竟能否通過手機的人臉識別功能解鎖手機?能否通過支付平臺的刷臉支付?針對此,本期《好奇心》設計了兩組實驗,一組是刷臉解鎖實驗,一組是刷臉支付實驗。
實驗時間:4月9日
實驗地點:西安四葉草信息技術有限公司安全研究院
實驗人員:安全研究員羅銘羨、華商報記者
實驗設備:iPhone X、華為mate9、紅米6Pro、樂視“樂1s”、CoolpadY82-520
實驗顧問:西安電子科技大學電子工程學院教授、博士生導師路文,西安四葉草信息技術有限公司CEO馬坤
4部受測手機:iPhoneX、華為mate9、紅米6Pro、CoolpadY82-520
只有CoolpadY82-520閉眼刷臉、照片欺騙都能通過
5部不同品牌的手機中,由於樂視“樂1S”本身不支持人臉識別解鎖,所以未參與這組測試。參與測試的4部手機,分別為iPhone X、華為mate9、紅米6Pro、Coolpad Y82-520。
測試開始前,安全研究員羅銘羨先把自己的面部信息輸入測試手機,設置為手機主人。
(1)正常刷臉開機測試。羅銘羨只要把手機拿起來對著自己的臉,iPhone X、華為mate9、紅米6Pro便可直接解鎖。而Coolpad Y82-520屏幕上出現主人的形象之後,隨即也解了鎖。
(2)測試看閉著眼睛能否解鎖。對於閉著眼睛的主人,iPhone X震動了一下沒能解鎖;華為mate9提示“未檢測到人臉”;紅米6Pro提示“人臉不匹配”;而Coolpad Y82-520屏幕上出現了主人閉眼坐著的形象之後就順利解鎖了。
(3)用提前拍的手機照片測試。為避免轉動手機時主人的臉被手機攝像頭“無意中看到”而解鎖導致測試不夠嚴謹,華商報記者一隻手拿著打開羅銘羨照片的手機,另一隻手拿著測試手機對著手機照片來測試。測試結果是:iPhone X震動了一下沒能解鎖;華為mate9提示“人臉不匹配”;紅米6Pro提示“人臉不匹配”,然後彈出數字窗口讓輸入密碼;而Coolpad Y82-520屏幕上出現了主人照片中的形象後便順利解鎖。
■實驗總結:
老舊手機最好別開通刷臉功能
這組實驗主要測試設備的人臉識別功能。從測試結果來看,4部手機中有3部手機在閉著眼睛和用照片“矇騙”的情況下是不能解鎖的,在人臉識別測試方面有問題的是幾年前的老手機。
從測試結果來看,一些手機的人臉識別技術並不靠譜,如果使用此類手機,建議最好不要啟用人臉識別功能,密碼和指紋也許更安全一些。
3部受測手機:iPhoneX、華為mate9、樂視“樂1s”
對閉眼刷臉、照片欺騙均“不認”,已越獄或root的設備不支持刷臉支付
進行第二組測試前,羅銘羨在5部手機上均安裝了微信、支付寶,並登錄了自己賬號後發現,微信支付大多不支持刷臉支付,所以此次只測試支付寶的刷臉支付。iPhone X做了不完全越獄後,支付寶不支持其刷臉支付(在iPhoneX上稱為“面容支付”),關機重啟後系統恢復正常支付寶才顯示支持“面容支付”;紅米6Pro做了root,支付寶不支持刷臉支付;CoolpadY82-520支持刷臉登錄但不支持刷臉支付;樂視“樂1s”不支持刷臉解鎖,但支持刷臉登錄、刷臉支付。實際上能參與第二組測試的手機分別是:iPhoneX、華為mate9、樂視“樂1s”。
羅銘羨把3部參與測試手機上安裝的支付寶支付方式均選擇為刷臉支付(設置好記者的支付寶收款二維碼轉賬金額為0.01元)。
(1)正常刷臉支付測試。羅銘羨打開iPhone X上支付寶刷臉登錄,掃描記者的支付寶收款二維碼,點擊立即支付後將攝像頭對準自己的臉,“面容支付”迅速通過。華為mate9、樂視“樂1s”刷臉支付也很快。
(2)閉眼刷臉支付測試。羅銘羨登錄iPhone X上的支付寶,設置好轉賬金額0.01元后點擊“確認轉賬”,閉上眼睛把攝像頭對準自己的臉,iPhone X彈出一個新界面,點擊新界面上的“立即支付”後,iPhone X很快顯示“未能識別面孔”,點擊“再次嘗試面容ID”後依舊不識別,並提示“面容ID短時間內失敗多次,需要驗證手機密碼”;在華為mate9上掃描收款二維碼後點擊立即付款,支付寶對閉眼人臉並不“認可”,要麼提示“未識別到人臉”,要麼提示“請把手機再拿遠一點”,最終未能識別;樂視“樂1s”對閉眼人臉檢測不識別,提示“未能識別人臉”。
(3)用支付寶賬號主人的照片進行刷臉支付測試。用照片測試時,iPhone X顯示“未能識別面孔”,再試就彈出提醒“面容ID短時間內失敗多次,需要驗證手機密碼”;華為mate9和樂視“樂1s”一樣,都是顯示“沒有認出你”,再試就彈出紅字提醒“短時間內嘗試刷臉次數過多,請使用支付密碼”。
■實驗總結:
支付平臺人臉識別技術識別準確
從測試可看出,支付寶的人臉識別是自己平臺的人臉識別,而非手機等設備上的人臉識別技術,所以才會出現樂視“樂1s”不支持人臉解鎖功能卻可以用支付寶刷臉登錄、刷臉支付的情況。從結果來看,支付寶的人臉識別技術能夠準確識別,對已越獄或root的設備也會“特別設防”,安全防範技術做得比較好。
但羅銘羨也提醒,現在的網絡支付平臺很多,並非所有的支付平臺都會開發自己的人臉識別技術,也並不是所有的人臉識別技術都能過安全關。
>>專家提醒
想要安全刷臉就選用知名手機、知名App
西安電子科技大學電子工程學院教授、博士生導師路文介紹,人臉識別,就是通過視頻採集設備獲取用戶面部圖像,再利用核心的算法對其臉部的五官位置、臉型和角度進行計算分析,進而和自身數據庫裡已有的範本進行比對,判斷出用戶真實身份。現在的算法大都是結合活體來識別的,加之結合結構光、近紅外、光場等的數據採集,可以更準確地區分活體和非活體。所以,不必擔心大概率發生睡覺時被人刷臉支付盜走存款的事。
提醒大家,儘量選用大廠的高端手機和大廠的App,因為他們一旦出錯誤代價會比較高。隨著技術不斷髮展,人臉識別領域也會日益成熟。
安全與否是動態的用戶要提高安全意識
西安四葉草信息技術有限公司CEO馬坤錶示,目前在人臉識別方面做得比較好的,一個是蘋果公司,其人臉識別會調取一些虹膜信息來加強身份驗證;另一個是支付寶,和蘋果的人臉識別一樣有風險控制系統,一旦試錯次數過多就會觸發,這也是一種保護。
但據瞭解,有人把蘋果的人臉識別也突破了,不知道現在有沒有修復。所以,安全與否是動態的過程,現在安全了不代表將來還安全。另外,安全和便利也是一對矛盾,刷臉解鎖、刷臉支付雖然不用每次輸密碼了,但人臉識別技術做得不好安全就沒有保障。所以,用戶必須要提高安全意識。 華商報記者 馬虎振 攝影 張傑
閱讀更多 華商網 的文章
