技術博客Xmrcat於昨日(1月21日)發布報告指出,Steam客戶端存在一項隱私機制漏洞,其「隱身」與「離線」狀態可能僅是一種「UI 幻覺」(UI illusion)。
技術分析顯示,Steam後台的連接管理器在用戶切換狀態時並未停止運作。無論用戶選擇「隱身」或手動設置為「離線」,客戶端仍持續向所有好友的終端發送即時活動信號。
該博客認為,此機制不僅繞過了前端界面顯示邏輯,更實質性地削弱了平台所提供的隱私選項功能,相當於將用戶的實時在線記錄持續推送至好友列表中的每一台設備。
當用戶狀態發生變更(如登錄或退出)時,Steam客戶端會廣播原始Unix時間戳的數據。對一般用戶而言,好友列表界面仍會將對方顯示為「離線」,視覺上並無異常;然而在接收端,客戶端軟體已能準確獲取用戶「剛剛下線」或「剛剛登錄」的精確時間資訊。
潛在攻擊者可通過攔截並解析ClientPersonaState的Protobuf協議消息負載,從中提取目標對象的真實活動數據。
若長期收集此類「隱形」的上下線時間戳,便可在用戶毫無察覺的情況下,逐步繪製其睡眠周期、遊戲習慣乃至日常作息圖譜。
Xmrcat已就該問題向Valve提交報告,並舉例說明如何通過數據分析推斷一名持續「隱身」數周好友的日常活動規律。然而相關工單被標記為「僅供參考」後關閉,Valve回應稱這些數據包僅發送給Steam好友,在某種程度上基於雙方既存的信任關係。
