[摘要]最近報道的一個案件中，爆出了某平臺的“人臉識別”系統存在著重大漏洞。嫌疑犯利用對某支付平臺賬戶登錄、找回密碼方式的了解，破解了該支付平臺賬戶人臉識別校驗系統的漏洞。西安大華監控機 西安監控公司 西安專業監控監控系統 西安高清監控 西安監控系統 西安監控軟件 西安監控監控系統成功盜刷多位受害人28萬元賬戶資金，目前宜賓警方已經將嫌犯周某、楊某被緝拿歸案。

  生物識別因其獨特性一直被認為是最安全的識別方式，其中人臉識別技術發展最為成熟，被廣泛應用到各個領域。但最近報道的一個案件中，爆出了某平臺的“人臉識別”系統存在著重大漏洞。西安可視對講門禁系統 西安面部識別門禁系統 西安門禁系統讀卡器 西安虹膜門禁系統 西安人臉識別門禁系統 人臉刷卡指紋門禁系統 西安指紋識別感應卡門禁系統門禁系統考勤系統 西安可視彩色門禁系統機 西安門禁系統安裝

嫌疑犯利用對某支付平臺賬戶登錄、找回密碼方式的了解，破解了該支付平臺賬戶人臉識別校驗系統的漏洞。成功盜刷多位受害人28萬元賬戶資金，目前宜賓警方已經將嫌犯周某、楊某被緝拿歸案。

  “人臉識別”驚險漏洞

  在使用人臉識別驗證的時候，我們需要通過手機攝像頭拍攝本人正面靜態照片，進行審核。之后系統會給出指令做出“眨眼、搖頭、張嘴”等動作，評估完成后，便可或許操作權限。

  那么，即便嫌犯拿著公民身份證照片，可視頻沒法拿到啊，黑產又該如何把資金挪走的呢?

  人臉識別視頻驗證那一步驟正是其漏洞所在，因為所謂的“眨眼、搖頭、張嘴”等動作，根本不需要證明你是你，只需要證明正在驗證的你是“活的”就可以了。

  人臉識別破解步驟

  據嫌疑人周某、楊某等人交代，在發現這一人臉驗證漏洞之后，開始大量在網上大量購買公民個人信息，包含公民的身份證照片正反照片、公民持證照、公民手機號碼、銀行卡號和開卡地等信息。接下來就是破解了：

  1、用手機自拍一張半身照，使用PHOTOSHOP將購買的公民面部照片合成到自拍的半身照上面。

  2、用手機對著自己錄制一些“張嘴”、“搖頭”、“眨眼等動作”的小視頻，將照片和視頻存在PC電腦中。

  3、通過在手機上登錄該支付平臺，輸入他人的該支付平臺的賬號(即公民信息資料中的“手機號碼”)，然后在系統提示下點擊“忘記登錄密碼”，再選擇輸入注冊身份證號碼，之后選擇人臉校驗。

  4、將事先準備好的合成照片從電腦上打開，再將手機攝像頭對著合成照片，完成第一步靜態人臉識別，然后再按照系統的指令，在電腦上播放事先錄制好的視頻片段，播放時仍然將手機攝像頭對著電腦屏幕，完成第二部動態驗證。系統僅會對第一張靜態人臉照片進行識別，因此通過受害人的合成照片認證就可以通過校驗，系統不會對第二次的動態視頻再進行校驗，只需辨認視頻中的人是能夠活動的活體。

  完成驗證之后，就可以進行換綁手機號碼。通過通過QQ聯系卡商，卡商發來一組手機號碼(16個或32個號碼為一組)，嫌疑人隨機選擇一個手機號碼，將該手機號碼綁定在受害人支付平臺賬戶上，在此過程中，支付平臺系統會發送驗證碼短信至新綁定的手機號碼里面，嫌疑人通過QQ聊天向卡商索要短信驗證碼，完成更改賬戶密碼、手機綁定操作。

  此時，嫌犯就可以通過短信驗證將受害人賬戶資金挪走。為了銷贓滅跡，周某他們還將盜刷資金通過在網站內玩“PT老虎機”等賭博游戲進行洗錢，再將資金轉入到自己使用的銀行卡賬號內。

  日前，嫌犯已經緝拿歸案了，警方也表示，通過案件的偵破，目前該平臺已修復了這一漏洞。

  華強智慧網結語

  案件的發生提醒了一個事實，人臉識別系統漏洞雖然已經修復了，但在手機莫名收到短信提示的時候，一定要引起注意。通過登入自己的賬戶及時轉移資產，修改密碼，或是掛失。