技术博客Xmrcat于昨日（1月21日）发布报告指出，Steam客户端存在一项隐私机制漏洞，其“隐身”与“离线”状态可能仅是一种“UI 幻觉”（UI illusion）。

       技术分析显示，Steam后台的连接管理器在用户切换状态时并未停止运作。无论用户选择“隐身”或手动设置为“离线”，客户端仍持续向所有好友的终端发送即时活动信号。

　　该博客认为，此机制不仅绕过了前端界面显示逻辑，更实质性地削弱了平台所提供的隐私选项功能，相当于将用户的实时在线记录持续推送至好友列表中的每一台设备。

　　当用户状态发生变更（如登录或退出）时，Steam客户端会广播原始Unix时间戳的数据。对一般用户而言，好友列表界面仍会将对方显示为“离线”，视觉上并无异常;然而在接收端，客户端软件已能准确获取用户“刚刚下线”或“刚刚登录”的精确时间信息。

　　潜在攻击者可通过拦截并解析ClientPersonaState的Protobuf协议消息负载，从中提取目标对象的真实活动数据。