Steam隐私漏洞实锤？技术流玩家可提取好友活动数据

科技博客Xmrcat昨天（1月21日）发布报告称，Steam客户端存在隐私机制漏洞，其“隐形”和“离线”状态可能只是一种“UI错觉”。

技术分析表明，当用户切换状态时，Steam 后端的连接管理器不会停止运行。无论用户选择“隐身”还是手动设置为“离线”，客户端都会持续向所有好友的终端发送实时活动信号。

博客认为，这种机制不仅绕过了前端界面显示逻辑，还大幅削弱了平台提供的隐私选项，相当于不断将用户的实时在线记录推送到好友列表中的每台设备上。

当用户状态发生变化（例如登录或注销）时，Steam 客户端会广播原始Unix 时间戳数据。对于普通用户来说，好友列表界面依然会显示对方“离线”，视觉上没有异常；而在接收端，客户端软件可以准确获取用户“刚刚离线”或“刚刚登录”的精确时间信息。

潜在的攻击者可以拦截并解析ClientPersonaState的Protobuf协议消息负载，以提取目标对象的真实活动数据。

如果长期收集这种“看不见”的线上线下时间戳，用户就可以在用户不知不觉中逐渐绘制出自己的睡眠周期、游戏习惯甚至日常生活的地图。

Xmrcat 已就此问题向Valve 提交了一份报告，并举例说明了如何利用数据分析来推断一位“隐身”数周的朋友的日常活动模式。但相关工单被标记为“仅供参考”并已关闭。 Valve回应称，这些数据包仅发送给Steam好友，某种程度上基于双方现有的信任关系。