>>>实验背景
据《宁波晚报》4月6日报道,在宁波某餐厅当传菜工的袁先生近日在熟睡时被室友刘某、杨某通过手机刷脸支付的方式,盗刷了银行卡中一万多元存款。经警方调查,刘某、杨某趁袁先生睡熟,拿起袁先生放在床头的手机,扫了袁先生的脸解锁后进入手机支付平台,刷脸转走了存款。
人在熟睡中究竟能否通过手机的人脸识别功能解锁手机?能否通过支付平台的刷脸支付?针对此,本期《好奇心》设计了两组实验,一组是刷脸解锁实验,一组是刷脸支付实验。
实验时间:4月9日
实验地点:西安四叶草信息技术有限公司安全研究院
实验人员:安全研究员罗铭羡、华商报记者
实验设备:iPhone X、华为mate9、红米6Pro、乐视“乐1s”、CoolpadY82-520
实验顾问:西安电子科技大学电子工程学院教授、博士生导师路文,西安四叶草信息技术有限公司CEO马坤
>>实验一:刷脸解锁
4部受测手机:iPhoneX、华为mate9、红米6Pro、CoolpadY82-520
只有CoolpadY82-520闭眼刷脸、照片欺骗都能通过
5部不同品牌的手机中,由于乐视“乐1S”本身不支持人脸识别解锁,所以未参与这组测试。参与测试的4部手机,分别为iPhone X、华为mate9、红米6Pro、Coolpad Y82-520。
测试开始前,安全研究员罗铭羡先把自己的面部信息输入测试手机,设置为手机主人。
(1)正常刷脸开机测试。罗铭羡只要把手机拿起来对着自己的脸,iPhone X、华为mate9、红米6Pro便可直接解锁。而Coolpad Y82-520屏幕上出现主人的形象之后,随即也解了锁。
(2)测试看闭着眼睛能否解锁。对于闭着眼睛的主人,iPhone X震动了一下没能解锁;华为mate9提示“未检测到人脸”;红米6Pro提示“人脸不匹配”;而Coolpad Y82-520屏幕上出现了主人闭眼坐着的形象之后就顺利解锁了。
(3)用提前拍的手机照片测试。为避免转动手机时主人的脸被手机摄像头“无意中看到”而解锁导致测试不够严谨,华商报记者一只手拿着打开罗铭羡照片的手机,另一只手拿着测试手机对着手机照片来测试。测试结果是:iPhone X震动了一下没能解锁;华为mate9提示“人脸不匹配”;红米6Pro提示“人脸不匹配”,然后弹出数字窗口让输入密码;而Coolpad Y82-520屏幕上出现了主人照片中的形象后便顺利解锁。
■实验总结:
老旧手机最好别开通刷脸功能
这组实验主要测试设备的人脸识别功能。从测试结果来看,4部手机中有3部手机在闭着眼睛和用照片“蒙骗”的情况下是不能解锁的,在人脸识别测试方面有问题的是几年前的老手机。
从测试结果来看,一些手机的人脸识别技术并不靠谱,如果使用此类手机,建议最好不要启用人脸识别功能,密码和指纹也许更安全一些。
>>实验二:刷脸支付
3部受测手机:iPhoneX、华为mate9、乐视“乐1s”
对闭眼刷脸、照片欺骗均“不认”,已越狱或root的设备不支持刷脸支付
进行第二组测试前,罗铭羡在5部手机上均安装了微信、支付宝,并登录了自己账号后发现,微信支付大多不支持刷脸支付,所以此次只测试支付宝的刷脸支付。iPhone X做了不完全越狱后,支付宝不支持其刷脸支付(在iPhoneX上称为“面容支付”),关机重启后系统恢复正常支付宝才显示支持“面容支付”;红米6Pro做了root,支付宝不支持刷脸支付;CoolpadY82-520支持刷脸登录但不支持刷脸支付;乐视“乐1s”不支持刷脸解锁,但支持刷脸登录、刷脸支付。实际上能参与第二组测试的手机分别是:iPhoneX、华为mate9、乐视“乐1s”。
罗铭羡把3部参与测试手机上安装的支付宝支付方式均选择为刷脸支付(设置好记者的支付宝收款二维码转账金额为0.01元)。
(1)正常刷脸支付测试。罗铭羡打开iPhone X上支付宝刷脸登录,扫描记者的支付宝收款二维码,点击立即支付后将摄像头对准自己的脸,“面容支付”迅速通过。华为mate9、乐视“乐1s”刷脸支付也很快。
(2)闭眼刷脸支付测试。罗铭羡登录iPhone X上的支付宝,设置好转账金额0.01元后点击“确认转账”,闭上眼睛把摄像头对准自己的脸,iPhone X弹出一个新界面,点击新界面上的“立即支付”后,iPhone X很快显示“未能识别面孔”,点击“再次尝试面容ID”后依旧不识别,并提示“面容ID短时间内失败多次,需要验证手机密码”;在华为mate9上扫描收款二维码后点击立即付款,支付宝对闭眼人脸并不“认可”,要么提示“未识别到人脸”,要么提示“请把手机再拿远一点”,最终未能识别;乐视“乐1s”对闭眼人脸检测不识别,提示“未能识别人脸”。
(3)用支付宝账号主人的照片进行刷脸支付测试。用照片测试时,iPhone X显示“未能识别面孔”,再试就弹出提醒“面容ID短时间内失败多次,需要验证手机密码”;华为mate9和乐视“乐1s”一样,都是显示“没有认出你”,再试就弹出红字提醒“短时间内尝试刷脸次数过多,请使用支付密码”。
■实验总结:
支付平台人脸识别技术识别准确
从测试可看出,支付宝的人脸识别是自己平台的人脸识别,而非手机等设备上的人脸识别技术,所以才会出现乐视“乐1s”不支持人脸解锁功能却可以用支付宝刷脸登录、刷脸支付的情况。从结果来看,支付宝的人脸识别技术能够准确识别,对已越狱或root的设备也会“特别设防”,安全防范技术做得比较好。
但罗铭羡也提醒,现在的网络支付平台很多,并非所有的支付平台都会开发自己的人脸识别技术,也并不是所有的人脸识别技术都能过安全关。
>>专家提醒
想要安全刷脸就选用知名手机、知名App
西安电子科技大学电子工程学院教授、博士生导师路文介绍,人脸识别,就是通过视频采集设备获取用户面部图像,再利用核心的算法对其脸部的五官位置、脸型和角度进行计算分析,进而和自身数据库里已有的范本进行比对,判断出用户真实身份。现在的算法大都是结合活体来识别的,加之结合结构光、近红外、光场等的数据采集,可以更准确地区分活体和非活体。所以,不必担心大概率发生睡觉时被人刷脸支付盗走存款的事。
提醒大家,尽量选用大厂的高端手机和大厂的App,因为他们一旦出错误代价会比较高。随着技术不断发展,人脸识别领域也会日益成熟。
安全与否是动态的用户要提高安全意识
西安四叶草信息技术有限公司CEO马坤表示,目前在人脸识别方面做得比较好的,一个是苹果公司,其人脸识别会调取一些虹膜信息来加强身份验证;另一个是支付宝,和苹果的人脸识别一样有风险控制系统,一旦试错次数过多就会触发,这也是一种保护。
但据了解,有人把苹果的人脸识别也突破了,不知道现在有没有修复。所以,安全与否是动态的过程,现在安全了不代表将来还安全。另外,安全和便利也是一对矛盾,刷脸解锁、刷脸支付虽然不用每次输密码了,但人脸识别技术做得不好安全就没有保障。所以,用户必须要提高安全意识。 华商报记者 马虎振 摄影 张杰
来源:华商网-华商报
