今天刷到的一个社会新闻，差点没吐出一口老血。说是某黄姓男子因为欠下赌债，四处筹钱未果，最后动起了前女友的歪脑筋。他先打电话和前女友董某寻求复合，并承诺会偿还在恋爱期间问董某借的 6 万多人民币。随后黄某施展 “ 糖衣炮弹 ” 的战术，百般体贴，上午打完电话，下午就来到前女友家，主动为她下厨做饭、冲服感冒药剂。在药效之下，董小姐放下戒备昏睡过去，此时黄某偷偷用指纹解锁了前女友的手机，并翻开他的眼皮，利用人脸识别转走了 15.41 万元……

还好女生醒来之后，立马报案，警察在第一时间逮捕了她的前男友。

事儿就是这么个狗血事儿，但里面 “ 扒眼皮人脸解锁转账 ” 的骚操作，还是让人有些好奇……

还能这么搞？

如果说，在昏睡情况下拿指纹解锁开手机、转账还有一些可操作性，那用扒开的眼皮来解锁支付级别的手机转账，听着就有点离谱了。

人是睡死了，可手机的安全系统难道也死了？现在的手机能有这么大的漏洞？

为了找出人脸支付识别的逻辑，打算复现一下黄某的这波极限操作。

我找来了办公室里和蔼可亲的米罗老师，借来了他的身子和他的手机，做了几组测试。

结果还挺出乎意料的……

我们模拟在辛苦了工作了一天之后，正准备放下手机睡觉的米罗老师被突袭的场景。

“ 没日没夜的打工人，没刷一会儿手机，就累躺下睡着了。 ” ▼

在米罗老师躺下没一会儿之后，一只罪恶的肥手伸向了米罗胸前的小米 10 Pro 。

他熟练的抓起这个熟睡男人的右手拇指，在轻摁了一下过后，手机咔哒一下解开了。

伴随着在米罗的一呼一吸，手机上的支付宝 App 被打开了，熟练的点开了通讯录中的某一个联系人，摁下转账键，输入了一笔巨款应该匹配的数字。

这时候的米罗还不知道，他熟睡的脸庞正在被当作犯罪的工具，幸好双眼紧闭的他，还没有被手机认证锁识别出来。

此时，直接一招 “ 双龙戏珠 ” ，扒开了受害者的双眼皮，可怜的米罗正在熟睡之中毫不知情，而他辛苦存下的巨款，已经在不知不觉中被转走了……

当然了，制作这些视频片段时并没有人受到伤害，米罗在毫不知情的情况下完成了拍摄。

在这段体验中，米罗表示被周围人动手动脚的感觉，还是相当明显的，不过要是真的昏睡过去，有没有知觉还真不好说。

接下来我们还测试了扒单眼解锁的集中情况，在遮住一只眼睛的情况下，是能成功识别解锁的。

甚至在只扒开一直眼的情况下，遮住另一只眼睛，也能解锁。

可这种办法成功的概率并不高，对面部识别的容错极小，来来回回开启关闭了面部识别好几次之后，才尝试成功。

失败次数多了之后，支付宝系统会直接锁掉面部支付。▼

这几轮测试下来，对于安卓手机用支付宝脸部付款的结论是： “ 在监测到机主有闭眼的情况下，支付是不会成功的。 ”

所以只要保证不让镜头识别到机主闭着的眼睛，就能通过认证，理论上就可以神不知鬼不觉的把钱款转移走。

然而在主打 3D 结构光 Face id 面部解锁的 iPhone 平台，闭起眼一只眼睛倒是可以解锁的，遮挡脸部或者掰开眼皮这样的操作反而是不行。

闭一只眼 ▼

遮挡脸部或者掰眼 ▼

做这个实验，不是想找出支付宝人脸识别的漏洞（ 毕竟也不是很严谨，没有测试暗光环境 ），关键还是想吐槽黄某的这波操作难度有多高。

要知道，拿手机对准别人的脸部识别的同时，还要掰开两只眼睛（ 或者是挡住一只眼睛掰开一只眼睛 ），这难度要是没有第三只手，还真的挺难搬到的。

细思极恐……

不过你要是个技术宅，真的用 Deepfake 虚拟张假脸来解锁别人的手机（ 有 Face ID 的 iPhone 可能不太行 ），也可以做到破解，没什么太大难度。

央视报道过相关的新闻。▼

不管怎么说，支付宝的安全系数还是比较高的，退 10000 步讲，要真碰上专业黑客来偷你的钱，人支付宝也是敢承诺赔付的。

但千防万防，家贼难防，就怕和这位董小姐一样，遇上枕边人吧眼皮转账，那要怪，也只能怪自己遇人不淑了……

标签： 安全