央视网消息:日前，广西南宁市兴宁区法院审理了一起特殊的盗窃案。被告人趁前女友昏睡之机，通过指纹和人脸验证，分多次从女方手机转账15万余元。在不知道手机解锁和支付密码的情况下，被告人是如何作案成功的？

案件发生在2020年12月26日。被告人黄某辉以协商还钱为名来到前女友董家中。看到董生病了，还主动做饭吃药。然而，让董没想到的是，他喝下黄某辉冲泡的“感冒药”后，很快就感到身体不适，不得不回房睡觉。

南宁市兴宁区法院刑事审判庭法官李道富:黄利用吃感冒药的机会，将买来的迷药倒入厨房的水中，董喝下约一小时后感觉有点异常，头晕。

客厅视频显示，董某在卧室睡着后，黄某辉在客厅翻找董某的手机。半个多小时后，黄某辉拿着两部手机走出卧室，其中一部是董未上锁的手机。在手机上进行多次操作后，黄某辉带着这部手机连夜离开了董的家。

南宁市兴宁区法院刑事审判庭法官李道富:被告人黄某辉在被害人董某熟睡时，用手指解锁其手机，用手睁开董某的眼睛，登录被害人董某的支付宝，修改相关(支付)密码，在支付宝内转账。

第二天早上，董醒来发现黄某辉及其手机不见了，立即报警。民警查明，当晚黄某辉多次从董某的花呗、借呗、支付宝余额、银行卡内转账共计15.41万元。近日，南宁市兴宁区人民法院对此案作出一审判决。以盗窃罪判处黄某辉有期徒刑三年六个月，并处罚金人民币二万元，并责令赔偿被害人董某的全部经济损失。

本案中，黄某辉在董某熟睡时，通过支付宝完成了一系列转账盗窃。如果不知道登录和支付密码，真的可以打开机主的眼皮转账吗？记者找了多款手机进行求证。

记者找了4部有人脸识别功能的手机，都输入了同事的人脸和指纹信息。记者注意到，其中一款售价千元左右的安卓手机在添加人脸时明确显示，该手机采用了2D人脸识别技术，并提示人脸识别的安全性低于图案密码、数字密码、混合密码和指纹。先测试手机解锁。记者让同事平躺闭眼，眼皮被动睁开时故意不看手机屏幕，模拟人无意识的睡眠状态。实验发现，当同事的眼皮被动睁开时，手机屏幕很快被顺利解锁。

同理，记者随后又核实了两款标价分别为3000多元和6000多元的安卓手机，以及一款售价近万元的苹果手机。记者发现，无论怎么换角度，翻同事的眼皮很多次，这三部手机都无法解锁。

记者发现，开启了指纹解锁功能的手机，可以在机主睡着的情况下，用手指触碰解锁。熟人偷看开机密码解锁手机，在不知道支付宝登录和支付密码的情况下，转账能成功吗？记者继续用这四部手机验证移动支付。结果登录支付宝时，系统提示刷脸验证身份，要求验证通过的人眨眼。和刚才一样，记者把模拟睡眠的同事的眼皮打开，然后放下。没想到，四部手机都通过了人脸眨眼的验证，成功登录支付宝。

该案中，黄某辉通过打开被害人眼皮登录支付宝后，直接修改支付密码，方便多次转账。记者继续验证，在支付宝中点击修改支付密码，选择不记忆之前的支付密码，然后直接进入与找回登录密码相同的人脸验证界面。记者翻了翻同事的眼皮，四台手机无一例外都通过了验证。

一旦修改支付密码，通过支付宝就可以轻松实现多次转账。支付宝对案件暴露的刷脸支付风险是否知情？记者拨通了支付宝客服的电话。

支付宝客服:人脸识别都是基于一个生物识别。如果别人在你睡觉的时候扫描你的脸，一般情况下是没办法通过的。这些情况大部分不是因为支付宝的安全问题，主要是别人操作了她(手机)。

手机一旦被别人操作，其他支付软件可以翻白眼支付或转账吗？记者用四台手机测试微信，发现6000元以上的安卓手机和新款苹果手机都可以使用人脸支付给朋友转账，遇到的是和解锁手机一样的人脸验证界面。记者打开同事的眼皮，尝试了多次，未能通过验证。虽然两款定价较低的安卓手机也支持人脸解锁，但在微信支付中只能选择指纹和密码。记者选择指纹支付，用手机触碰同事手指后轻松实现转账成功。如果想修改微信支付密码方便多次转账，四款手机显示的界面一样，只能输入原支付密码，都没有提供刷脸或者指纹的验证方式。

记者还随机测试了几款银行app，发现银行app转账时不支持刷脸和指纹支付。如果不知道取款密码，就无法顺利转账。其中，部分银行app在登录时非常严格。即使通过了手机验证码，也要进行人脸识别，被要求完成眨眼、摇头、张嘴三个动作。让记者假装睡着，反复尝试被翻眼皮或者被动转头，都无法通过验证，更何况人在睡觉的时候很难被动完成三个动作而不被吵醒。

为什么人不自觉的翻眼皮就能解锁？为什么不同的支付软件采用不同的认证方式？如何让刷脸支付更安全？我们来听听专家的解读和建议。

田是清华大学人工智能博士，一直致力于提高人工智能的安全技术。他告诉记者，无论是低价手机使用的2D人脸识别技术，还是采用3D人脸识别技术的中高端手机，都可以被动睁开眼皮，通过人脸验证。

正因如此，目前大部分软件都会在人脸识别的基础上加入活体验证技术，即需要点头、眨眼、摇头。一般来说，越是需要验证的动作，越是难以被破。据介绍，记者验证的相对高端的手机，无法通过翻眼皮解锁，核心是加入了视线检测技术。被测试者不能解锁手机是因为他在被动睁开眼皮时模拟了自己的睡眠状态，避免直视屏幕。

专家表示，理论上，验证技术环节越多，安全性越高。但在实际操作中，如果将安全级别调整为最高级别，并重复认证，则便利性会受到影响，用户体验会大打折扣。相比银行APP，支付宝只有在体内验证的时候才会眨眼。在某些型号的手机中，微信只需验证指纹就可以转账。除了技术路线的不同，还有市场策略的选择。

清华大学人工智能国际治理研究院副院长郑良:像这种支付的应用，一定要兼顾安全性和便利性。如果特别复杂，那我干脆不要了。我可以用其他的。

清华大学人工智能国际治理研究院副院长梁长期关注人工智能推广和应用的公共政策。他告诉记者，2021年11月1日正式实施的《中华人民共和国个人信息保护法》明确规定，“个人有权要求个人信息处理者对通过自动化决策做出的对个人权益有重大影响的决定做出说明，有权拒绝个人信息处理者仅通过自动化决策做出决定”。

作为影响个人财产安全的重大决策，移动支付软件并不能自动决策，只是提供了刷脸或指纹的方式。目前，支付宝和微信有多种认证方式可供选择，如刷脸、密码、指纹等，符合个人信息保护法的规定。但是法律上并没有详细的规定，是张嘴摇头还是刷脸看现场。专家建议，软件还可以针对人脸验证的具体方式和环节设置不同的安全等级，让用户根据需求自主选择，而不是被动接受软件的设置。

清华大学人工智能国际治理研究院副院长郑良:法律不能这么细，(细化)要紧密结合这个行业的实践。在使用(刷脸支付)的时候，一定要有风险提示，是否设置更高的安全等级，作为前置要求，是否能提供救助方案(发生事故后)，我觉得行业和业界也可以考虑。

专家强调，人脸识别和密码、指纹等传统认证技术一样，都有一定的被攻破概率，现阶段没有百分百安全的技术。对于安全风险较高的用户或者在卫生间、美容院等公共空房间休息的特定场景，可以完全关闭手机设置中的刷脸和指纹识别功能，这样手机解锁和验证支付时就不会出现刷脸和指纹识别的选项。

来源:央视。