金幣大師 (Coin Master)
大富翁 GO (Monopoly GO)
蛋仔派對
超能世界
豬遊記
LINE金幣派對
夢幻海島
豬來了
薑餅人王國
天天玩樂園
技術博客Xmrcat於昨日(1月21日)發布報告指出,Steam客戶端存在一項隱私機制漏洞,其“隱身”與“離線”狀態可能僅是一種“UI 幻覺”(UI illusion)。
廣告
技術分析顯示,Steam後台的連接管理器在使用者切換狀態時並未停止運作。無論使用者選擇“隱身”或手動設定為“離線”,客戶端仍持續向所有好友的終端發送即時活動信號。
該博客認為,此機制不僅繞過了前端介面顯示邏輯,更實質性地削弱了平台所提供的隱私選項功能,相當於將使用者的即時線上記錄持續推送至好友列表中的每一台設備。
當使用者狀態發生變更(如登錄或退出)時,Steam客戶端會廣播原始Unix時間戳的資料。對一般使用者而言,好友列表介面仍會將對方顯示為“離線”,視覺上並無異常;然而在接收端,客戶端軟體已能準確獲取使用者“剛剛下線”或“剛剛登錄”的精確時間訊息。
潛在攻擊者可通過攔截並解析ClientPersonaState的Protobuf協議消息負載,從中提取目標對象的真實活動資料。
若長期收集此類“隱形”的上下線時間戳,便可在使用者毫無察覺的情況下,逐步繪製其睡眠周期、遊戲習慣乃至日常作息圖譜。
Xmrcat已就該問題向Valve提交報告,並舉例說明如何通過資料分析推斷一名持續“隱身”數周好友的日常活動規律。然而相關工單被標記為“僅供參考”後關閉,Valve回應稱這些資料包僅發送給Steam好友,在某種程度上基於雙方既存的信任關係。
來源:遊俠網
