今天刷到的一個社會新聞，差點沒讓世超吐出一口老血。

說是某黃姓男子因為欠下賭債，四處籌錢未果，最后動起了前女友的歪腦筋。

他先打電話和前女友董某尋求復合，并承諾會償還在戀愛期間問董某借的 6 萬多人民幣。

隨后黃某施展“糖衣炮彈”的戰(zhàn)術，百般體貼，上午打完電話，下午就來到前女友家，主動為她下廚做飯、沖服感冒藥劑。

在藥效之下，董小姐放下戒備昏睡過去，此時黃某偷偷用指紋解鎖了前女友的手機，并翻開他的眼皮，利用人臉識別轉走了 15.41 萬元。

還好女生醒來之后，立馬報案，警察在第一時間逮捕了她的前男友。

事兒就是這么個狗血事兒，但里面“扒眼皮人臉解鎖轉賬”的騷操作，還是讓世超有些好奇。

還能這么搞？

如果說，在昏睡情況下拿指紋解鎖開手機、轉賬還有一些可操作性，那用扒開的眼皮來解鎖支付級別的手機轉賬，聽著就有點離譜了。

人是睡死了，可手機的安全系統難道也死了？現在的手機能有這么大的漏洞？

為了找出人臉支付識別的邏輯，世超打算復現一下黃某的這波極限操作。

我找來了辦公室里和藹可親的米羅老師，借來了他的身子和他的手機，做了幾組測試。

結果還挺出乎意料的。

我們模擬在辛苦了工作了一天之后，正準備放下手機睡覺的米羅老師，被“惡人世超”突襲的場景。

“沒日沒夜的打工人，沒刷一會兒手機，就累躺下睡著了。”▼

在米羅老師躺下沒一會兒之后，一只罪惡的肥手伸向了米羅胸前的小米 10 Pro。

他熟練的抓起這個熟睡男人的右手拇指，在輕摁了一下過后，手機咔噠一下解開了。

伴隨著在米羅的一呼一吸，手機上的支付寶 App 被打開了，惡人世超熟練的點開了通訊錄中的某一個聯系人，摁下轉賬鍵，輸入了一筆巨款應該匹配的數字。

這時候的米羅還不知道，他熟睡的臉龐正在被當作犯罪的工具，幸好雙眼緊閉的他，還沒有被手機認證鎖識別出來。

此時，氣急敗壞的世超直接一招“雙龍戲珠”，扒開了受害者的雙眼皮，可憐的米羅正在熟睡之中毫不知情，而他辛苦存下的巨款，已經在不知不覺中被轉走了。

當然了，制作這些視頻片段時并沒有人受到傷害，米羅在毫不知情的情況下完成了拍攝。

在這段體驗中，米羅表示被周圍人動手動腳的感覺，還是相當明顯的，不過要是真的昏睡過去，有沒有知覺還真不好說。

接下來我們還測試了扒單眼解鎖的集中情況，在遮住一只眼睛的情況下，是能成功識別解鎖的。

甚至在只扒開一直眼的情況下，遮住另一只眼睛，也能解鎖。

可這種辦法成功的概率并不高，對面部識別的容錯極小，世超來來回回開啟關閉了面部識別好幾次之后，才嘗試成功。

失敗次數多了之后，支付寶系統會直接鎖掉面部支付。▼

這幾輪測試下來，世超對于安卓手機用支付寶臉部付款的結論是：“在監(jiān)測到機主有閉眼的情況下，支付是不會成功的。”

所以只要保證不讓鏡頭識別到機主閉著的眼睛，就能通過認證，理論上就可以神不知鬼不覺的把錢款轉移走。

然而在主打 3D 結構光 Face id 面部解鎖的 iPhone 平臺，閉起眼一只眼睛倒是可以解鎖的，遮擋臉部或者掰開眼皮這樣的操作反而是不行。

閉一只眼▼

遮擋臉部或者掰眼▼

世超做這個實驗，不是想找出支付寶人臉識別的漏洞（畢竟也不是很嚴謹，沒有測試暗光環(huán)境），關鍵還是想吐槽黃某的這波操作難度有多高。

要知道，拿手機對準別人的臉部識別的同時，還要掰開兩只眼睛（或者是擋住一只眼睛掰開一只眼睛），這難度要是沒有第三只手，還真的挺難搬到的。

細思極恐。

不過你要是個技術宅，真的用 Deepfake 虛擬張假臉來解鎖別人的手機（ 有 Face ID 的 iPhone 可能不太行 ），也可以做到破解，沒什么太大難度。

央視報道過相關的新聞。▼

不管怎么說，支付寶的安全系數還是比較高的，退 10000步講，要真碰上專業(yè)黑客來偷你的錢，人支付寶也是敢承諾賠付的。

但千防萬防，家賊難防，就怕和這位董小姐一樣，遇上枕邊人吧眼皮轉賬，那要怪，也只能怪自己遇人不淑了。