01「標題黨」鬧出烏龍
「一男子睡夢中“被支付”上萬元,竟是用了人臉識別!」
上週,一則關於浙江袁先生因「刷臉錢被盜」的公訴案件登上「寧波公安」的公眾號,並被浙江新聞頻道電視報導。
50多歲的袁先生,在浙江寧波一家餐廳打工。4月2日早上,他發現自己銀行卡里的一萬多元存款竟不翼而飛!
民警經過排查發現,和袁先生同住的劉某、楊某有重大作案嫌疑。經審訊,是同事趁袁先生睡覺時,用他的手機刷臉開機,再用微信將他銀行卡里的錢轉走。
案件中涉及到兩個技術環節,一是手機解鎖,案件清楚描述嫌疑人是透過人臉驗證解鎖手機,並且是閉眼透過刷臉解鎖驗證。二是微信支付,目前微信支援的支付方式包括密碼支付、指紋支付、刷臉支付、免密支付等。
警方並沒有透露手機品牌及型號。一位不願具名的警官表示,手機為「千百來塊」的安卓低端機。
手機解鎖能盜用人臉,權責當屬手機責任方,那麼更為關鍵的「微信支付」又是如何實現的?
在「寧波公安」官方公眾號的案件披露中,我們發現了「關鍵細節」:
「經警方調查,竊賊是袁先生的室友,而其作案手法竟是趁袁先生睡熟之際,拿起袁先生放在床頭的手機,掃了袁先生的臉解鎖後,進入手機支付平臺,刷臉轉走了存款。」
描述中的最後一句「刷臉轉走了存款」,將矛頭直指微信「刷臉支付」的安全隱患,即無法識別熟睡中的使用者的閉眼狀態,導致被熟人盜刷。
據機器之心瞭解,針對「閉眼盜刷」的風險早有防範措施,通常在人臉識別過程中加入「注視識別」的二維人眼關鍵點檢測,並且這項技術早已經在行業普及。
照此推測,微信的「刷臉支付」當真存在該嚴重漏洞?而嫌疑犯恰好就是利用「刷臉認證」方案中的同一個漏洞攻破兩道技術防線?