日前,广西南宁市兴宁区法院审理了一起特殊的盗窃案。被告人趁其前女友昏睡时,先后通过指纹和人脸验证,从女子手机中多次转走共计15万余元。在不知道手机解锁和支付密码的情况下,被告人是如何作案成功的呢?
女子昏睡 被扒眼皮解锁支付宝转走15万
案件发生在2020年12月26日,被告人黄某辉以商量还钱的名义来到前女友董某家中,看到董某正在生病,还主动做饭喂药。然而,让董某没想到的是,喝完黄某辉亲手冲泡的“感冒药”,很快就感觉不适,不得不回屋睡觉。
南宁市兴宁区法院刑事审判庭法官 李到福:(黄某辉利用)冲感冒药的时机,在厨房里面把他购买的迷药倒进水中,董某饮用约一个小时后,她就感觉有点异常,头晕。
客厅视频显示,董某进卧室昏睡后,黄某辉在客厅里来回翻找董某手机。半个多小时后,黄某辉手拿两部手机从卧室走出,其中一部就是已经解锁的董某手机。对着手机多次操作后,黄某辉带着这部手机连夜离开了董某的家。
南宁市兴宁区法院刑事审判庭法官 李到福:被告人黄某辉利用被害人董某昏睡的时期,用她的手指将她的手机进行了解锁,用手扒开董某的眼睛,登录到被害人董某的支付宝里面,并且在里面修改了相关的(支付)密码,在支付宝里面进行转款。
次日凌晨,董某醒来,发现黄某辉和手机都不见了踪影,立即报警。警方查明,黄某辉当晚分多次从董某的花呗、借呗、支付宝余额和银行卡转走人民币共15.41万元。近日,南宁市兴宁区人民法院对该案作出一审判决,黄某辉因犯盗窃罪被判处有期徒刑三年零六个月,并处罚金人民币两万元,责令其退赔被害人董某全部经济损失。
记者验证被扒眼皮能否转账
本案中,黄某辉就是通过支付宝趁董某昏睡时,完成了一系列转账盗窃行为。在不知道登录和支付密码情况下,真的可以翻开机主眼皮转账吗?记者找来了多款手机,进行验证。
记者找来了四款具备人脸识别功能的手机,全部输入同事的人脸和指纹信息。记者注意到,其中一款上市定价千元左右的安卓手机,在添加人脸时就明确显示,该手机采用的是2d人脸识别技术,并提示:人脸识别安全性低于图案密码、数字密码、混合密码和指纹。
首先进行手机解锁的测试。记者让同事平躺闭眼,并在眼皮被动翻开时,有意不看手机屏幕,模拟人的睡眠无意识状态。试验发现,当同事眼皮被动翻开后,手机屏幕很快就顺利解锁。
同样方式,记者接着验证了两款上市定价分别为3000多元和6000多元的安卓手机,还有一款定价近万元的苹果手机。记者发现,无论如何变化角度,多次翻动同事眼皮,这三款手机都无法解锁。
记者发现,打开指纹解锁功能的手机,在机主熟睡状态下,都可以通过贴近手指解锁。如果熟人偷窥开机密码解锁了手机,在不知道支付宝登录和支付密码情况下,能否转账成功呢?记者继续用这四款手机进行手机支付的验证。结果发现,在登录支付宝时,系统提示可以使用刷脸验证身份,并要求被验证人眨眼。记者像刚才一样翻开模拟睡眠状态的同事眼皮,随后放下,意想不到的是,四款手机全部通过了人脸加眨眼的验证,成功登录支付宝。
案件中,黄某辉通过翻开被害人眼皮登录支付宝后,为方便多次转账,还直接修改了支付密码。记者继续验证,在支付宝里点击修改支付密码,选择不记得此前支付密码,就直接进入和找回登录密码一样的人脸验证界面。记者翻动同事眼皮,四款手机无一例外也都通过了验证。
一旦修改了支付密码,通过支付宝就能轻而易举实现多次转账。对于案件暴露出的刷脸支付风险,支付宝是否知晓呢?记者拨通了支付宝客服的电话。
支付宝客服:人脸识别,它都是用一个活物识别,别人在您睡觉的时候去进行一个扫脸的话,正常情况下是没有办法通过的。这种案件出现,大多数不是因为支付宝的安全有问题,它主要是他人操作过她的(手机)。
手机一旦被别人操作,其他支付类软件是否也能被翻眼皮支付或转账呢?记者用四款手机测试微信发现,定价6000多元的安卓手机和新款苹果手机,向好友转账可以使用面容支付,遇到的是和手机解锁一样的人脸验证界面。记者翻开同事眼皮多次尝试,都无法通过验证。而两款定价较低的安卓手机虽然也支持面容解锁,但微信支付中只能选择指纹和密码两种方式。记者选择指纹支付,用手机轻触同事手指后,轻松实现成功转账。若想修改微信支付密码方便多次转账,四款手机显示的界面一样,只能输入原支付密码,而且都不提供刷脸或指纹的验证方式。
记者也随机测试了几款银行app,发现在银行app转账支付时,也都不支持面容和指纹支付,如果不知道取款密码,均无法顺利转账。其中部分银行app登录时验证就十分严格,即使通过了手机验证码验证,还要进行人脸识别,并要求完成眨眼、摇头和张嘴三项动作。记者让同事假装熟睡,多次尝试被翻眼皮或被动转头,都不能通过验证,更何况人在睡眠状态下,很难被动完成三个动作而不被惊醒。
刷脸指纹支付须兼顾便利性和安全性
为什么人在无意识状态下,被动翻眼皮可以解锁?不同的支付软件为何会采用不同的验证方式?如何让刷脸支付更安全?来听听专家的解读和建议。
田天是清华大学人工智能博士,一直致力于人工智能安全技术提升。他告诉记者,无论是低价位手机使用的2d人脸识别技术,还是具备3d人脸识别技术的中高端手机,都可能出现被动翻开眼皮通过人脸验证的情况。
人工智能专家 田天:人脸识别技术其实是通过算法去提取人脸的一些关键信息,眼睛、鼻子、嘴巴等周围的区域会存在更多的关键点,所以其实如果在人脸识别过程中出现这种面部,脸颊或者额头上有一些干扰的话,可能对于身份识别并不会产生特别大的影响。
正因如此,目前大多软件会在人脸识别基础上,增加活体验证技术,就是需要做出点头、眨眼、摇头的动作。一般来说,需要验证的动作越多,被突破的难度越大。据介绍,记者验证的相对高端的手机,无法通过被翻眼皮解锁,核心是加入了注视检测技术。被测试人在被动翻开眼皮时,模拟睡眠状态,避免视线直视屏幕,所以无法解锁手机。
人工智能专家 田天:当前的人脸识别技术,我们要增强它的安全性,其实是需要综合的一些手段,把各种各样的方式结合起来,比如去判断我的眼球,或者我的注视点有没有盯着当前这个设备,可以一定程度上增强在这个非配合情况下的安全性。
专家表示,理论上,验证技术环节越多,安全性越高。但在实际操作中,如果将安全等级调至最高,重重认证,必定会让便捷性受到影响,用户体验大打折扣。相比银行app,支付宝在活体验证时只有眨眼一个动作,微信在部分型号手机只验证指纹就能转账,除了技术路线的区别,也有市场策略的选择。
清华大学人工智能国际治理研究院副院长 梁正:像这种支付的应用,它一定要做到安全性和便捷性之间的一个平衡,如果特别复杂,那干脆我就不用了,我可以用其他的。
梁正是清华大学人工智能国际治理研究院副院长,长期关注人工智能推广应用中的公共政策。他告诉记者,2021年11月1日正式实施的《中华人民共和国个人信息保护法》明确规定,“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。手机支付作为影响个人财产安全的重大决定,支付软件不能自动化决策,只提供刷脸或指纹这一种方式,目前支付宝、微信有刷脸、密码和指纹等多种验证方式供选择,是符合《个人信息保护法》规定的。但是具体到使用刷脸验证这一场景时,是否要张嘴、摇头或注视检测等多项验证,法律并没有详尽规定。专家建议,针对刷脸验证的具体方式和环节,软件也可以设置不同安全等级,让用户根据需要自主选择,而不是被动地接受软件设置。
清华大学人工智能国际治理研究院副院长 梁正:法律不可能规定这么细,要跟行业的实践紧密结合。在使用(刷脸支付)的时候就要有一个风险提示,是不是要设置这样更高的安全等级。作为一个前置性要求,(意外损失后)是不是还能够提供一种救济方案,我觉得这个行业、业界还是可以去考虑。
专家强调,人脸识别同密码、指纹等传统身份认证技术一样,都存在一定被攻破的概率,现阶段尚不存在百分之百安全的技术。对于安全风险比较高的用户,或者在浴室、美容院等公共空间休息的特定场景,可以彻底关闭手机设置中的刷脸和指纹识别功能,从而在解锁手机和支付验证时,不会出现刷脸和指纹的选项。
人工智能专家 田天:跟熟人在一起的时候,也要有相应的安全意识。一方面,我们要从技术的角度去增强它的安全性。另外一方面,也需要大家的安全意识逐步提升起来。