本文首次从系统角度对移动应用中跨端人脸验证系统（XFVS）的安全性进行了大规模测量研究。XFVS 将人脸验证功能拆分为两端：移动端负责采集照片或视频，服务器端负责验证。以往研究多关注机器学习模型对抗攻击的鲁棒性，但忽视了验证流程的设计与实现安全。为此，作者设计并实现半自动化系统 XFVSChecker，用于检测移动应用中的 XFVS，并检查其是否满足四项安全属性。评估发现，大多数现有 XFVS 应用（包括下载量达数十亿的应用）至少存在一类安全缺陷，可被四种类型的攻击利用。这些攻击仅需简单的先决条件（如受害者的一张照片），即可导致严重安全风险，包括完全账户接管、身份欺诈和财务损失。研究结果获得了14个中国国家漏洞数据库（CNVD）编号，其中CNVD-2021-86899被评为2021年度最有价值漏洞。本文适合移动安全研究员、应用开发者及安全评估人员阅读。