技术博客Xmrcat于昨日（1月21日）公开报告指出，Steam客户端存在一项隐私机制漏洞，其“隐身”和“离线”情形也许仅是一种“UI 幻觉”（UI illusion）。

　　技术解析显示，Steam后台的连接管理器在用户切换情形时并未停止运作。无论用户选择“隐身”或手动配置为“离线”，客户端仍持续给全部好友的终端发送即时活动主题信号。

　　该博客认为，此机制不仅绕过了前端界面显示逻辑，更实质性地削弱了平台所提供的隐私选项功能，等于于将用户的实时在线记录持续推送至好友列表中的每一台设备。

　　当用户情形发生变更（如登录或退出）时，Steam客户端会广播原始Unix时刻戳的数据。对一般用户而言，好友列表界面仍会将对方显示为“离线”，视觉上并无异常;然而在接收端，客户端软件已能准确获取用户“刚刚下线”或“刚刚登录”的精确时刻信息。

　　潜在攻击者可通过拦截并解析ClientPersonaState的Protobuf协议消息负载，从中提取目标对象的真正活动主题数据。

　　若长期收集此类“隐形”的上下线时刻戳，便可在用户毫无察觉的情况下，逐步绘制其睡眠周期、游戏习性乃至日常作息图谱。

　　Xmrcat已就该难题给Valve提交报告，并举例说明怎样通过数据解析推断一名持续“隐身”数周好友的日常活动主题规律。然而相关工单被标记为“仅供参考”后关闭，Valve答复称这些数据包仅发送给Steam好友，在某种程度上基于双方既存的信赖关系。