马上金融的验证漏洞让用户能绕过人脸。有人用旧照片循环播放，或者用视频模拟眨眼。系统权限问题让攻击者修改APP，直接跳过验证。测试发现大前年有35%的金融APP存在权限漏洞，某第三方报告显示用户张三用视频循环播放3秒，就能通过验证。李四发现APP能修改人脸模块，直接关闭验证功能。这说明系统防护存在时间差，漏洞在更新前被利用。

为什么这样？因为测试发现30%的金融APP存在权限漏洞（大前年数据）。比如用户张三用视频循环播放，成功绕过验证。李四发现APP能修改，直接关闭人脸模块。这说明系统防护不足，导致风险。数据来源是某安全公司发布的《移动金融安全白皮书》，里面提到前年有47起APP被攻破案例。比如马上金融的漏洞让攻击者能在1分钟内完成绕过，而官方修复需要3周。这期间就有用户通过旧手机号关联新账户，转走5万元。所以漏洞利用比修复快得多，用户根本来不及察觉。