翻個眼皮就能被轉走15萬？測試了不同品牌手機的人臉識別，結果...

最近

與人臉識別安全性相關的話題不少

據《南寧晚報》報道，有一男子趁前女友昏睡時，用女友的指紋解鎖了女友的手機，並翻開她的眼皮，利用人臉識別從手機轉走15。41萬元；

《南寧晚報》的報道↑

還有人聲稱有微信使用者接通舅媽的影片通話後，影片裡沒有舅媽也沒有人說話，但幾分鐘後，微信賬戶就被盜了…

“接了舅媽的影片電話就被盜號”在網上流傳很廣

這些訊息都是真的嗎？

解放日報·上觀新聞記者進行了實測發現

“翻眼皮”還真可能被轉賬

但影片遠端盜號，可能性很小

【實驗一】

嘗試翻他人眼皮解鎖手機並進行轉賬

【結果】

部分安卓手機成功了，蘋果手機失敗了

對於“男子翻前女友眼皮偷錢”的訊息，有網友評論：被翻眼皮不會醒嗎？從新聞報道看，該女子當時正好生病，還喝下了感冒藥，不排除睡得比較沉的情況。

那麼，假如在熟睡狀態下被人翻眼皮，到底能不能解開基於人臉識別技術設定的手機密碼和賬戶密碼？

記者的一名小夥伴主動閉上眼睛假裝熟睡並拿起自己的手機對著正臉，另一名小夥伴則輕輕地翻起她的眼皮試圖解鎖開機。實驗結果顯示，這一操作確實能解開部分安卓手機的鎖屏，並且透過第三方支付軟體的人臉識別認證，完成轉賬。蘋果手機顯示識別不成功，需要開機者輸入解鎖密碼。

“翻眼皮”解鎖了部分安卓手機

“翻眼皮”未能解鎖蘋果手機

“翻眼皮”通過了第三方支付App的驗證，成功轉賬

解讀：雖然透過翻眼皮成功解開了部分安卓手機的鎖屏並完成了轉賬，但業內人士表示，這並不意味著安卓手機或相關App不安全。

因為人臉識別技術的基礎是“人臉”。在“翻眼皮”實驗中，物件正是使用者本人，如果“翻眼皮”這一動作的實施沒有過度遮擋人臉，手機和相關App的識別系統就會正常工作，從而完成解鎖。通俗地說，手機或者相關App無法判斷使用者是主動睜眼進行人臉識別，還是被迫睜眼進行人臉識別。

當然，不同手機所應用的人臉識別技術有區別，會帶來不一樣的解鎖效果。

比如，蘋果手機之所以沒有識別“被翻眼皮的人臉”，一個重要原因是其運用了人臉的3D資訊進行驗證。簡單來說，就是手機將成千上萬個肉眼不可見的光點投影在人的臉部，由於臉部不同部位高低不同，這些光點的反射線就能繪製出一個立體的臉部3D模型，再結合前置攝像頭拍攝的可見光人臉，用演算法將人臉紋理與3D模型結合，從而得到“是不是本人使用”“能不能解鎖”的結果。當用戶被人翻眼皮時，投射的部分光點被遮掩，從而難以構建一個完整的人臉3D模型，這就導致手機給出了識別不成功的訊號。

人臉識別3D建模模擬圖（圖片來源：蘋果官網）

因此，3D人臉識別能防止平面的紙張（如照片）、影片等人臉攻擊手段；再加上投射的光點數量夠多並結合人臉紋理拍攝，能較好地防止使用面具進行解鎖。

安卓陣營的手機使用的人臉識別技術並不一致，有些使用3D成像，有些用的是比對臉部關鍵資訊點。如果“翻眼皮”的動作沒有影響到這些關鍵點，手機被破解屬於正常現象。

可見，要防止媒體報道中的“被翻眼皮轉賬”，歸根結底還是管好自己的手機。需要提醒的是，“翻別人眼皮轉賬”的行為涉嫌盜竊。據《南寧晚報》報道，轉走前女友錢款的男子就因盜竊罪被依法判處有期徒刑三年六個月，並處罰金2萬元。

【實驗二】

透過影片通話解鎖手機螢幕

【結果】

均失敗

“翻眼皮”可以解鎖部分手機，那麼透過影片電話能透過系統的人臉識別並實現盜號嗎？

由於蘋果手機採取3D資訊驗證技術，能夠防止照片、影片等構建的“假臉”，所以這次實驗只測試了安卓手機，而且是能透過“翻眼皮解鎖”的手機。

解鎖中，測試手機對著影片中的人臉識別了很久，最終仍舊錶示“識別失敗”，未能成功解鎖。同樣的，各種第三方支付軟體均不能透過識別“影片人臉”進行轉賬或支付。

影片解鎖手機失敗↑

解讀：人臉識別技術的關鍵之一是進行活體識別，即識別的是活生生的人，而不是影片或照片。所以，類似照片、影片這樣平面的“假臉”“假人”，是人臉識別技術要剔除的最基本的偽裝。在這點上，絕大多數手機企業都已有技術積累，“影片解鎖”的機率非常低。

同時，類似微信、支付寶、各大銀行的網銀等涉及支付的App對安全性要求很高，通常都需要多維驗證，包括裝置、密碼、使用環境、使用習慣等。平時，人們感受的“刷臉登入”“刷臉轉賬”背後，是安全系統對以上維度綜合判斷後給出的服務。在絕大多數情況下，如果使用者換了一臺手機，不透過其他維度的驗證，很難立刻獲得“刷臉登入”“刷臉轉賬”的便捷。

以微信為例，如果僅掌握他人的微信賬戶（微訊號或手機號）卻沒有密碼而想獲得密碼，那麼按照微信安全中心的官方指引，有三種方式：已繫結的手機號+簡訊驗證碼登入；已繫結的QQ號+QQ密碼；已繫結的郵箱重設密碼。不論是哪種方式，都難以輕易獲得對應的密碼。

而且，即便掌握了賬號和密碼，想在非本人使用的手機上登入微信賬號，還得“過關”。微信官方提供三種方式：手機簡訊驗證、原手機掃碼驗證、邀請好友驗證。但在網傳影片中，“受害人”的手機一直在自己手上，只是打了幾分鐘影片電話，就被盜號，可能嗎？有技術人員笑稱，如果影片就能盜號解鎖，那麼網路上的高畫質影片都能成為犯罪工具，且明星更容易成為此類手法攻擊的物件——因為他們的高畫質臉部細節和動態畫面頻繁出現在公開場合。

記者求證時還發現，網傳影片和提醒漏洞百出。相關影片大多是擺拍。影片中，“被害人”看到的通話頁面中既沒有通話物件，也沒有手機或攝像頭，而是雜亂無章的物品。換句話說，“被害人”並沒有看到網路那邊的攝像頭，這又是怎麼被“盜臉”了呢？另一個“硬傷”是，部分影片和文章在末尾看似貼心地提醒，如果遭遇盜號，可以撥打熱線電話“9555”凍結網銀。但是，“9555”是一個空號，且不同銀行的客戶服務熱線並不一致，並不存在能凍結所有銀行網銀的通用電話。