缓解移动支付系统中的“肩窥”漏洞：一套安全框架

为何“有眼睛在看”会关系到你的钱

移动支付让买菜、分摊餐费或转账变得轻而易举，只需几次轻触即可完成。但每当你在人群拥挤的商店输入密码，或站在自动售票机前时，附近的人——甚至隐蔽的摄像头——都可能悄悄盯着看。本文提出了一种新方法，让你的手机具备类似第六感的能力，能在有人视觉窥视你的屏幕时察觉并在财务信息暴露前提醒你。

窥视的隐性风险

大多数人相信银行应用和支付系统受强加密与安全策略保护。然而，许多攻击并不通过复杂的入侵，而是直接依赖“搭肩窃视”来窃取PIN或密码。传统防护手段——例如掩码数字、调暗屏幕或使用指纹——主要保护应用内的数据，但对物理世界中的旁观者或摄像头几乎无能为力。作者将此称为“情境盲区”：手机无法判断在你付款时是否有人在盯着屏幕看，这在悄无声息中侵蚀了用户隐私与信任。

能感知周围环境的手机

研究人员提出了GATCSA，一种在你付款时把前置摄像头变成实时观察器的系统。当你输入PIN时，摄像头会短暂扫视场景。轻量级的计算机视觉软件检测附近人脸、推断他人注视方向，并识别可能在录像的物体，如监控摄像头或他人的手机。系统还估算这些观察者的距离、他们盯屏的持续时间以及周围潜在窥视者的数量。所有这些信息被合成成一个表示当时风险程度的威胁分数。

从视线与设备到风险评分

在内部，GATCSA的工作方式类似一名细心的保安。首先，对摄像帧进行清理和标准化，使算法更易处理；然后检测人脸并定位眼部关键点以估计注视方向。与此同时，目标检测模块在每帧中查找诸如CCTV摄像头或以可疑姿势持手机的人等物体。情境模块会综合衡量多个因素——与屏幕的距离、视角、注视持续时间、人群规模和照明条件——以生成分级的威胁水平：低、中或高。系统并非简单发出是/否警报，而是评估形势的严重程度。

及时警示且不共享你的视频

一旦GATCSA判定风险等级，它会相应调整提醒方式。对于低风险情形，例如远距离的短暂一瞥，手机可能显示温和提示或轻微振动，提醒你保持警觉。对于中高风险——例如附近有人直视你的屏幕或有摄像头明显对准你——手机可能建议倾斜设备、启用隐私滤镜，或在威胁消除前暂停交易。关键在于，所有处理均在设备本地完成。视频帧在内存中被分析后立即丢弃，不会被存储或上传到服务器，从而降低隐私顾虑和数据成本，同时保持电池消耗在可控范围内。

在真实人群环境中真的有效吗？

为验证这种视觉“保镖”能否在实验室外发挥作用，团队使用计算机生成的目光图像和不同光照与姿态下的真实人像训练并评估了GATCSA。随后在不同的Android和iOS手机上进行了现场试验，场景包括明亮的商店、昏暗的室内空间以及光线变化的户外区域。该系统以约98%的准确率检测出了肩窥威胁，平均响应时间低于0.2秒，且用户通常在几秒内对警报作出反应。与其他先进的视觉防护方法相比，GATCSA在保持对日常手机实用性的前提下实现了更高的准确性。

对日常支付意味着什么

对非专业读者来说，核心结论很直接：即便再强的数字锁也无法在有人能看见你输入内容时保护你。GATCSA展示了手机可以替你主动观察周围环境，静默判断屏幕是否暴露，并在窥视者捕捉到你的PIN之前提示你采取简单措施。尽管仍存在一些挑战——例如用户对摄像头使用的接受度以及极低光照等棘手条件——该研究指向了这样的未来：移动设备不仅在内部安全可靠，也能智能地感知并应对身边的真实风险。

引用: Alqahtani, O., Dileep, M.R., Ghouse, M. et al. Mitigating shoulder spoofing vulnerabilities in mobile payment systems: a security framework. Sci Rep 16, 6690 (2026). https://doi.org/10.1038/s41598-026-37426-w

关键词: 移动支付, 肩窥, 视线检测, 隐私保护, 计算机视觉安全