技术博客Xmrcat于昨日(1月21日)发布报告指出,Steam客户端存在一项隐私机制漏洞,其“隐身”与“离线”状态可能仅是一种“UI 幻觉”(UI illusion)。
技术分析显示,Steam后台的连接管理器在用户切换状态时并未停止运作。无论用户选择“隐身”或手动设置为“离线”,客户端仍持续向所有好友的终端发送即时活动信号。
该博客认为,此机制不仅绕过了前端界面显示逻辑,更实质性地削弱了平台所提供的隐私选项功能,相当于将用户的实时在线记录持续推送至好友列表中的每一台设备。
当用户状态发生变更(如登录或退出)时,Steam客户端会广播原始Unix时间戳的数据。对一般用户而言,好友列表界面仍会将对方显示为“离线”,视觉上并无异常;然而在接收端,客户端软件已能准确获取用户“刚刚下线”或“刚刚登录”的精确时间信息。
潜在攻击者可通过拦截并解析ClientPersonaState的Protobuf协议消息负载,从中提取目标对象的真实活动数据。
若长期收集此类“隐形”的上下线时间戳,便可在用户毫无察觉的情况下,逐步绘制其睡眠周期、游戏习惯乃至日常作息图谱。
Xmrcat已就该问题向Valve提交报告,并举例说明如何通过数据分析推断一名持续“隐身”数周好友的日常活动规律。然而相关工单被标记为“仅供参考”后关闭,Valve回应称这些数据包仅发送给Steam好友,在某种程度上基于双方既存的信任关系。
