据科技媒体tom's hardware消息,技术分析博客xmrcat披露,即便steam用户将个人状态设为“隐身”或“离线”,其客户端仍会持续向好友广播精确的登录与登出时间戳——此举被指“使全部隐私控制功能实质性失效”。
据悉,每当用户在线状态发生变更(如上线、下线、切换隐身),Steam客户端便会自动向该用户所有Steam好友推送原始Unix时间戳。该行为不受任何隐私设置影响,即使已启用“仅对好友可见”“隐藏在线状态”等选项,数据广播依然照常进行。
“隐身”与“离线”模式和常规在线状态的本质差异仅在于:好友端的客户端会将你归入“离线好友列表”,视觉上不显示你当前在线,但本地程序仍完整保留你最近一次连接/断开的确切时间点。
对多数普通用户而言,这一机制或许影响有限;但对具备逆向分析或网络抓包能力的技术人员而言,理论上可从Steam通信流中捕获并解析这些时间戳。借助长期观测,完全有可能还原出用户的日常作息规律、活跃时段乃至游戏偏好,实现隐蔽的行为画像。
Xmrcat透露,他此前已通过Valve官方漏洞反馈平台HackerOne提交该问题,并附带实证:即便目标用户连续数周保持“隐身”,仍能基于广播时间戳准确重建其每日入睡与起床时间窗口。
然而该报告最终被Valve标记为“仅作信息参考(Informative)”并予以关闭。官方回应称:相关数据仅限发送至用户自主添加的好友,而双方关系默认建立在相互信任基础之上。
但现实情况是,大量用户会在Steam中添加素未谋面的陌生人(例如因游戏群组、战队招募、MOD作者、直播互动等场景),导致“信任前提”并不成立。此类设计缺陷,客观上为潜在滥用埋下隐患——更不必提那些打着“支持我的战队”旗号的钓鱼式诈骗请求。
哪怕把状态调至“隐身”或“离线”,你的活动节律仍可能被悄然记录——这究竟是Steam在工程实现上的无奈取舍,还是已然触碰了用户隐私保护的底线?当你意识到自己的在线轨迹始终“有迹可循”,是否还会像过去那样毫无顾虑地接受陌生人的加好友申请?欢迎在评论区分享你的观点。
