為了複現從支付寶裡偷錢的騷操作 我扒了一下午同事眼皮
今天刷到的一個社會新聞,差點沒吐出一口老血。 說是某黃姓男子因為欠下賭債,四處籌錢未果,最後動起了前女友的歪腦筋。 他先打電話和前女友董某尋求複合,並承諾會償還在戀愛期間問董某借的6萬多人民幣。 隨後黃某施展” 糖衣炮彈 “的戰術,百般體貼,上午打完電話,下午就來到前女友家,主動為她下廚做飯、沖服感冒藥劑。 在藥效之下,董小姐放下戒備昏睡過去,此時黃某偷偷用指紋解鎖了前女友的手機,並翻開他的眼皮,利用人臉識別轉走了 15.41 萬元……
還好女生醒來之後,立馬報案,員警在第一時間逮捕了她的前男友。
事兒就是這麼個狗血事兒,但裡面” 扒眼皮人臉解鎖轉帳 “的騷操作,還是讓人有些好奇……
還能這麼搞?
如果說,在昏睡情況下拿指紋解鎖開手機、轉賬還有一些可操作性,那用扒開的眼皮來解鎖支付級別的手機轉帳,聽著就有點離譜了。
人是睡死了,可手機的安全系統難道也死了? 現在的手機能有這麼大的漏洞?
為了找出人臉支付識別的邏輯,打算複現一下黃某的這波極限操作。
我找來了辦公室里和藹可親的米羅老師,借來了他的身子和他的手機,做了幾組測試。
結果還挺出乎意料的……
我們類比在辛苦了工作了一天之後,正準備放下手機睡覺的米羅老師被突襲的場景。
” 沒日沒夜的打工人,沒刷一會兒手機,就累躺下睡著了。 ” ▼
在米羅老師躺下沒一會兒之後,一隻罪惡的肥手伸向了米羅胸前的小米 10 Pro 。
他熟練的抓起這個熟睡男人的右手拇指,在輕摁了一下過後,手機咔噠一下解開了。
伴隨著在米羅的一呼一吸,手機上的支付寶App被打開了,熟練的點開了通訊錄中的某一個聯繫人,摁下轉帳鍵,輸入了一筆巨款應該匹配的數位。
這時候的米羅還不知道,他熟睡的臉龐正在被當作犯罪的工具,幸好雙眼緊閉的他,還沒有被手機認證鎖識別出來。
此时,直接一招 “ 双龙戏珠 ” ,扒开了受害者的双眼皮,可怜的米罗正在熟睡之中毫不知情,而他辛苦存下的巨款,已经在不知不觉中被转走了……
当然了,制作这些视频片段时并没有人受到伤害,米罗在毫不知情的情况下完成了拍摄。
在这段体验中,米罗表示被周围人动手动脚的感觉,还是相当明显的,不过要是真的昏睡过去,有没有知觉还真不好说。
接下来我们还测试了扒单眼解锁的集中情况,在遮住一只眼睛的情况下,是能成功识别解锁的。
甚至在只扒開一直眼的情況下,遮住另一隻眼睛,也能解鎖。
可這種辦法成功的概率並不高,對面部識別的容錯極小,來來回回開啟關閉了面部識別好幾次之後,才嘗試成功。
失敗次數多了之後,支付寶系統會直接鎖掉面部支付。 ▼
這幾輪測試下來,對於安卓手機用支付寶臉部付款的結論是: ” 在監測到機主有閉眼的情況下,支付是不會成功的。 ”
所以只要保證不讓鏡頭識別到機主閉著的眼睛,就能通過認證,理論上就可以神不知鬼不覺的把錢款轉移走。
然而在主打 3D 結構光 Face id 面部解鎖的iPhone平臺,閉起眼一隻眼睛倒是可以解鎖的,遮擋臉部或者掰開眼皮這樣的操作反而是不行。
閉一隻眼 ▼
遮擋臉部或者掰眼 ▼
做這個實驗,不是想找出支付寶人臉識別的漏洞( 畢竟也不是很嚴謹,沒有測試暗光環境 ),關鍵還是想吐槽黃某的這波操作難度有多高。
要知道,拿手機對準別人的臉部識別的同時,還要掰開兩隻眼睛( 或者是擋住一隻眼睛掰開一隻眼睛 ),這難度要是沒有第三隻手,還真的挺難搬到的。
細思極恐……
不過你要是個技術宅,真的用Deepfake虛擬張假臉來解鎖別人的手機( 有 Face ID 的 iPhone 可能不太行 ),也可以做到破解,沒什麼太大難度。
央視報導過相關的新聞。 ▼
不管怎麼說,支付寶的安全係數還是比較高的,退 10000 步講,要真碰上專業駭客來偷你的錢,人支付寶也是敢承諾賠付的。
但千防萬防,家賊難防,就怕和這位董小姐一樣,遇上枕邊人吧眼皮轉帳,那要怪,也只能怪自己遇人不淑了……
來源:差評