IT之家 1 月 22 日消息,技术博客 Xmrcat 昨日(1 月 21 日)发布博文,报道称 Steam 客户端存在隐私机制漏洞,“隐身”(Invisible)和“离线”(Offline)状态实际上是一种“UI 幻觉”(UI illusion)。

技术分析指出 Steam 的后台连接管理器(Connection Manager)并未因用户切换状态而停止工作。无论用户是否将个人资料设为“隐身”,或者手动选择“离线”,后台仍会持续向所有好友的客户端发送即时活动信号。

该博客认为该机制不仅绕过了前端的显示逻辑,甚至无视了平台提供的隐私保护选项,相当于将用户的实时在线日志毫无保留地推送给了好友列表中的每一台设备。

用户调整状态(如登录或退出)后,Steam 客户端都会广播原始的 Unix 时间戳。对于普通用户而言,好友列表确实会将该用户归类在“离线”一栏,视觉上看不出异样;但对于接收端设备而言,客户端软件实际上已经确切知晓了该用户“上一秒刚刚下线”或“此刻刚刚登录”的精准时间数据。

IT之家援引博文介绍,攻击者可以通过拦截和解析 ClientPersonaState 的 Protobuf(协议缓冲区)消息负载,提取出目标对象的真实活动数据

打开网易新闻 查看精彩图片

他人通过长期收集这些“隐形”的上下线时间戳,可以在用户毫不知情的情况下,绘制出用户的睡眠周期、游戏习惯以及生活作息图谱。

Xmrcat 向 Valve 报告了该问题,并举例展示了在好友“隐身”数周的情况下,利用数据洞察该好友日常活动。不过该工单被标记为“仅供参考”并关闭,Valve 指出这些数据包只会发送给 Steam 好友,从某种意义上来说,双方存在某种信任关系。