Анонимный блог раскрыл уязвимость в Steam: клиент продолжает передавать данные о входе и выходе из системы друзьям, даже если пользователь установил статус «Невидим» или «Офлайн». Настройки конфиденциальности не защищают эту информацию, позволяя отслеживать активность.
Анонимный блог утверждает, что клиент Steam продолжает транслировать время вашего входа и выхода из системы, даже если вы установили статус «Невидим» или «Офлайн». По данным блога Xmrcat, «установка статуса „Офлайн“ — это, по сути, иллюзия пользовательского интерфейса. Вы можете казаться миру офлайн, но внутренняя система Connection Manager (CM) продолжает транслировать вашу активность в сокет. Эта утечка обходит всё, даже настройки „Закрытый профиль“. По сути, это предоставляет вашим друзьям журнал в реальном времени о том, когда именно вы спите и просыпаетесь, делая ваши настройки конфиденциальности фактически бесполезными».
Согласно отчёту, клиент Steam, по-видимому, транслирует необработанные временные метки Unix всем друзьям, добавленным на платформе, каждый раз, когда меняется ваш статус, даже если вы активировали настройки конфиденциальности для сокрытия информации. Единственное отличие при выборе статуса «Невидим» или «Офлайн» заключается в том, что клиент на ПК и устройствах ваших друзей поместит ваш профиль в список «Офлайн», поэтому они вас не увидят, но клиент всё равно знает, когда вы в последний раз входили или выходили из системы.
Для обычного пользователя это может не представлять проблемы, но те, кто разбирается в программировании и разработке, потенциально могут извлечь эту информацию из бэкенда Steam. Существует возможность перехватить полезную нагрузку сообщения protobuf ClientPersonaStaste, которая может раскрыть ваш цикл сна или игровые привычки, позволяя кому-то отслеживать ваше поведение без вашего ведома.
Анонимный пользователь сообщил, что поднял этот вопрос, но компания его проигнорировала. «Я отправил это в Valve через HackerOne», — написал Xmrcat. «Я показал им, как могу восстановить суточные циклы сна цели, несмотря на то, что они были „невидимы“ в течение нескольких недель». К сожалению, тикет был закрыт как «Информативный», и им сообщили, что пакеты отправляются только вашим друзьям в Steam, поэтому компания исходит из предположения о существующей связи доверия между двумя сторонами.
Однако многие пользователи добавляют в друзья людей, которых они лично не знают в Steam, а это означает, что данная проблема может затрагивать некоторых пользователей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jowi Morales