山東
IT之家 1 月 22 日消息,技術博客 Xmrcat 昨日(1 月 21 日)發布博文,報道稱 Steam 客戶端存在隱私機制漏洞,“隱身”(Invisible)和“離線”(Offline)狀態實際上是一種“UI 幻覺”(UI illusion)。
技術分析指出 Steam 的后臺連接管理器(Connection Manager)并未因用戶切換狀態而停止工作。無論用戶是否將個人資料設為“隱身”,或者手動選擇“離線”,后臺仍會持續向所有好友的客戶端發送即時活動信號。
該博客認為該機制不僅繞過了前端的顯示邏輯,甚至無視了平臺提供的隱私保護選項,相當于將用戶的實時在線日志毫無保留地推送給了好友列表中的每一臺設備。
用戶調整狀態(如登錄或退出)后,Steam 客戶端都會廣播原始的 Unix 時間戳。對于普通用戶而言,好友列表確實會將該用戶歸類在“離線”一欄,視覺上看不出異樣;但對于接收端設備而言,客戶端軟件實際上已經確切知曉了該用戶“上一秒剛剛下線”或“此刻剛剛登錄”的精準時間數據。
IT之家援引博文介紹,攻擊者可以通過攔截和解析 ClientPersonaState 的 Protobuf(協議緩沖區)消息負載,提取出目標對象的真實活動數據。
他人通過長期收集這些“隱形”的上下線時間戳,可以在用戶毫不知情的情況下,繪制出用戶的睡眠周期、游戲習慣以及生活作息圖譜。
Xmrcat 向 Valve 報告了該問題,并舉例展示了在好友“隱身”數周的情況下,利用數據洞察該好友日常活動。不過該工單被標記為“僅供參考”并關閉,Valve 指出這些數據包只會發送給 Steam 好友,從某種意義上來說,雙方存在某種信任關系。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
