Steam隱私漏洞？玩家竄改好友數據

Steam「隱身」與「離線」狀態存重大隱私漏洞：實際活動訊號仍持續傳送

知名技術部落格 Xmrcat 於 1 月 21 日發布深度分析報告，揭露 Steam 客戶端一項關鍵隱私機制缺陷——其「隱身」（Invisible）與「離線」（Offline）狀態並非真實斷連，而僅是一種「UI 幻覺」（UI Illusion），使用者的即時活動訊號仍在後台持續向所有好友裝置廣播。

後台連線管理器未中止運作，狀態切換形同虛設

技術驗證顯示，Steam 客戶端內建的連接管理器（Connection Manager）在使用者變更狀態時並未終止通訊行為。無論手動設定為「隱身」或「離線」，客戶端仍會透過 ClientPersonaState 協議，以 Protobuf 格式持續推送包含原始 Unix 時間戳的即時狀態更新至每位 Steam 好友的終端設備。

視覺隱藏 ≠ 實際隱蔽：好友端可精確掌握上下線時間

儘管好友列表介面仍依前端邏輯顯示為「離線」，接收端客戶端卻能完整解析並記錄每次登入、登出的確切毫秒級時間點。這意味著：即使使用者全程保持「隱身」，其真實活躍節奏（如每日登入時間、遊戲啟動/退出時刻）已無縫暴露於社交關係鏈中。

長期數據累積恐導致個人作息圖譜被逆向推演

若攻擊者或第三方長期截取並分析此類「不可見」的時間戳訊號，即可在使用者完全無感的情況下，逐步重建其睡眠週期、遊戲習慣、工作間歇甚至日常生活節律。此風險不僅限於惡意監控，亦可能被用於行為預測、廣告定向或社交工程輔助。

Valve 回應淡化問題嚴重性，工單標註「僅供參考」後關閉

Xmrcat 已正式向 Valve 提交詳細技術報告，並附上實證案例：透過數週連續收集一名長期設定為「隱身」之好友的上下線時間序列，成功還原其穩定的晨間遊戲模式與夜間休眠規律。然而該工單最終被標記為「For Reference Only」並關閉；Valve 表示相關資料僅傳遞予既有 Steam 好友，且「基於雙方既存的信任關係」，未承認此設計構成隱私功能失效。