[摘要]最近報(bào)道的一個(gè)案件中，爆出了某平臺(tái)的“人臉識(shí)別”系統(tǒng)存在著重大漏洞。嫌疑犯利用對(duì)某支付平臺(tái)賬戶登錄、找回密碼方式的了解，破解了該支付平臺(tái)賬戶人臉識(shí)別校驗(yàn)系統(tǒng)的漏洞。西安大華監(jiān)控機(jī) 西安監(jiān)控公司 西安專(zhuān)業(yè)監(jiān)控監(jiān)控系統(tǒng) 西安高清監(jiān)控 西安監(jiān)控系統(tǒng) 西安監(jiān)控軟件 西安監(jiān)控監(jiān)控系統(tǒng)成功盜刷多位受害人28萬(wàn)元賬戶資金，目前宜賓警方已經(jīng)將嫌犯周某、楊某被緝拿歸案。

  生物識(shí)別因其獨(dú)特性一直被認(rèn)為是最安全的識(shí)別方式，其中人臉識(shí)別技術(shù)發(fā)展最為成熟，被廣泛應(yīng)用到各個(gè)領(lǐng)域。但最近報(bào)道的一個(gè)案件中，爆出了某平臺(tái)的“人臉識(shí)別”系統(tǒng)存在著重大漏洞。西安可視對(duì)講門(mén)禁系統(tǒng) 西安面部識(shí)別門(mén)禁系統(tǒng) 西安門(mén)禁系統(tǒng)讀卡器 西安虹膜門(mén)禁系統(tǒng) 西安人臉識(shí)別門(mén)禁系統(tǒng) 人臉?biāo)⒖ㄖ讣y門(mén)禁系統(tǒng) 西安指紋識(shí)別感應(yīng)卡門(mén)禁系統(tǒng)門(mén)禁系統(tǒng)考勤系統(tǒng) 西安可視彩色門(mén)禁系統(tǒng)機(jī) 西安門(mén)禁系統(tǒng)安裝

嫌疑犯利用對(duì)某支付平臺(tái)賬戶登錄、找回密碼方式的了解，破解了該支付平臺(tái)賬戶人臉識(shí)別校驗(yàn)系統(tǒng)的漏洞。成功盜刷多位受害人28萬(wàn)元賬戶資金，目前宜賓警方已經(jīng)將嫌犯周某、楊某被緝拿歸案。

  “人臉識(shí)別”驚險(xiǎn)漏洞

  在使用人臉識(shí)別驗(yàn)證的時(shí)候，我們需要通過(guò)手機(jī)攝像頭拍攝本人正面靜態(tài)照片，進(jìn)行審核。之后系統(tǒng)會(huì)給出指令做出“眨眼、搖頭、張嘴”等動(dòng)作，評(píng)估完成后，便可或許操作權(quán)限。

  那么，即便嫌犯拿著公民身份證照片，可視頻沒(méi)法拿到啊，黑產(chǎn)又該如何把資金挪走的呢?

  人臉識(shí)別視頻驗(yàn)證那一步驟正是其漏洞所在，因?yàn)樗^的“眨眼、搖頭、張嘴”等動(dòng)作，根本不需要證明你是你，只需要證明正在驗(yàn)證的你是“活的”就可以了。

  人臉識(shí)別破解步驟

  據(jù)嫌疑人周某、楊某等人交代，在發(fā)現(xiàn)這一人臉驗(yàn)證漏洞之后，開(kāi)始大量在網(wǎng)上大量購(gòu)買(mǎi)公民個(gè)人信息，包含公民的身份證照片正反照片、公民持證照、公民手機(jī)號(hào)碼、銀行卡號(hào)和開(kāi)卡地等信息。接下來(lái)就是破解了：

  1、用手機(jī)自拍一張半身照，使用PHOTOSHOP將購(gòu)買(mǎi)的公民面部照片合成到自拍的半身照上面。

  2、用手機(jī)對(duì)著自己錄制一些“張嘴”、“搖頭”、“眨眼等動(dòng)作”的小視頻，將照片和視頻存在PC電腦中。

  3、通過(guò)在手機(jī)上登錄該支付平臺(tái)，輸入他人的該支付平臺(tái)的賬號(hào)(即公民信息資料中的“手機(jī)號(hào)碼”)，然后在系統(tǒng)提示下點(diǎn)擊“忘記登錄密碼”，再選擇輸入注冊(cè)身份證號(hào)碼，之后選擇人臉校驗(yàn)。

  4、將事先準(zhǔn)備好的合成照片從電腦上打開(kāi)，再將手機(jī)攝像頭對(duì)著合成照片，完成第一步靜態(tài)人臉識(shí)別，然后再按照系統(tǒng)的指令，在電腦上播放事先錄制好的視頻片段，播放時(shí)仍然將手機(jī)攝像頭對(duì)著電腦屏幕，完成第二部動(dòng)態(tài)驗(yàn)證。系統(tǒng)僅會(huì)對(duì)第一張靜態(tài)人臉照片進(jìn)行識(shí)別，因此通過(guò)受害人的合成照片認(rèn)證就可以通過(guò)校驗(yàn)，系統(tǒng)不會(huì)對(duì)第二次的動(dòng)態(tài)視頻再進(jìn)行校驗(yàn)，只需辨認(rèn)視頻中的人是能夠活動(dòng)的活體。

  完成驗(yàn)證之后，就可以進(jìn)行換綁手機(jī)號(hào)碼。通過(guò)通過(guò)QQ聯(lián)系卡商，卡商發(fā)來(lái)一組手機(jī)號(hào)碼(16個(gè)或32個(gè)號(hào)碼為一組)，嫌疑人隨機(jī)選擇一個(gè)手機(jī)號(hào)碼，將該手機(jī)號(hào)碼綁定在受害人支付平臺(tái)賬戶上，在此過(guò)程中，支付平臺(tái)系統(tǒng)會(huì)發(fā)送驗(yàn)證碼短信至新綁定的手機(jī)號(hào)碼里面，嫌疑人通過(guò)QQ聊天向卡商索要短信驗(yàn)證碼，完成更改賬戶密碼、手機(jī)綁定操作。

  此時(shí)，嫌犯就可以通過(guò)短信驗(yàn)證將受害人賬戶資金挪走。為了銷(xiāo)贓滅跡，周某他們還將盜刷資金通過(guò)在網(wǎng)站內(nèi)玩“PT老虎機(jī)”等賭博游戲進(jìn)行洗錢(qián)，再將資金轉(zhuǎn)入到自己使用的銀行卡賬號(hào)內(nèi)。

  日前，嫌犯已經(jīng)緝拿歸案了，警方也表示，通過(guò)案件的偵破，目前該平臺(tái)已修復(fù)了這一漏洞。

  華強(qiáng)智慧網(wǎng)結(jié)語(yǔ)

  案件的發(fā)生提醒了一個(gè)事實(shí)，人臉識(shí)別系統(tǒng)漏洞雖然已經(jīng)修復(fù)了，但在手機(jī)莫名收到短信提示的時(shí)候，一定要引起注意。通過(guò)登入自己的賬戶及時(shí)轉(zhuǎn)移資產(chǎn)，修改密碼，或是掛失。