一篇匿名博客声称,即使你将状态设置为“隐身”或“离线”,Steam客户端仍会持续广播你的登录和注销时间。据Xmrcat博客所述,“将自己设置为‘离线’基本上只是一种用户界面上的假象。你可能在他人看来是离线的,但后端的连接管理器(CM)仍在向套接字广播你的实时活动。这个漏洞绕过了所有设置,甚至是‘私人资料’设置。它实质上向你的好友提供了一份关于你确切入睡和醒来时间的实时日志,使得你的隐私设置实际上形同虚设。”
报告指出,Steam客户端显然会在你的状态每次发生变化时,向你在该平台上添加的所有好友广播原始的Unix时间戳,即使你已开启隐私设置来隐藏信息。设置为“隐身”或“离线”的唯一区别在于,你好友电脑和设备上的客户端会将你的个人资料归入“离线”列表,因此他们无法看到你,但客户端仍然知道你上次登录或注销的时间。
这对普通用户来说可能不是问题,但那些精通编程和开发的人有可能从Steam的后端提取这些信息。他们可以拦截ClientPersonaStaste的protobuf消息负载,这可能会暴露你的睡眠周期或游戏习惯,从而让他人在你不知情的情况下追踪你的行为。
这位匿名用户表示,他们曾向公司提出这个问题,但被敷衍了事。Xmrcat写道:“我通过HackerOne将此事报告给了Valve公司。我向他们展示了,尽管目标用户‘隐身’了数周,我如何能重构其每日睡眠周期。”不幸的是,该工单被标记为“仅供参考”并关闭,他们被告知这些数据包只会发送给Steam上的好友,因此公司认为双方之间存在预设的信任关系。
然而,许多人在Steam上添加了他们并不真正认识的人为好友,这意味着这个问题可能会影响到部分用户。
