freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

腾讯《无限法则》疑似收集用户SS配置信息,游戏隐私问题引争议
2019-01-22 09:30:38

在过去一年的时间里,隐私成为了最热门的关键词之一,但似乎我们很少去关注游戏的隐私问题。近期用户 @Hackl0us 一条微博,让腾讯游戏安全中心陷入了一场关于隐私的风波……

bf086cf654bc6c7c0f8ec4f65a0ee1ae636fc4cb.jpg

《无限法则》疑似收集SS服务器配置信息事件回顾

WX20190121-153754.png

导火索是腾讯自主研发的一款游戏《无限法则》(Ring of Elysium,简称 ROE),其隐私协议中有明确提到可能会收集用户的ShadowSocks 服务器配置信息。目前,这款游戏仅在 Steam 上线。

shadowsocks-windows-edit-servers.png

ShadowSocks,包括其衍生的ShadowSocksR都属于一种网络代理协议,能够突破网络审查(俗称翻墙),并且提供比较安全的加密访问,由于比较敏感,笔者这里就不再多说了。而《无限法则》隐私协议中所提到的“ShadowSocks服务器配置信息”可能包含的是,服务器IP、用户名、秘密、端口、加密方式等敏感内容。

在该博主曝光这条信息之后,腾讯游戏安全中心很快进行了回应。根据其回应的内容,之所以会收集此类信息是为了检测外挂,并举例一款知名手机雷达挂,正式通过ShadowSocks实现代理。至于为何会在隐私协议中有检测说明,腾讯游戏安全中心如下回应如下:

为了尊重用户知情权,并遵守GDPR的隐私披露要求,我们在隐私条款中如实披露了这个处理方式。但没有进行更详细的技术原理介绍,导致广大玩家的误解,在此向大家致歉。

WX20190121-164847.png

这件事发酵很快,甚至在Steam上引起了很大的反响。在1月19日到1月21日之间,《Ring of Elysium》Steam游戏主页上出现了大量的负面评论,大部分都是关于腾讯反外挂系统收集ShadowSocks服务器配置信息甚至个人信息的抗议,甚至部分评论直接从隐私层面上升到了政府言论上。

WX20190121-171038.png

WX20190121-171026.png

WX20190121-171014.png

WX20190121-170908.png

还有一个值得注意的点就是,在腾讯游戏安全中心对此事发表回应之后,很多 ROE 玩家表示游戏中出现外挂的情况突然增多了。玩家一度认为此次隐私风波发生之后,反外挂系统关掉了该特性所致。但在腾讯游戏安全中心的回应中明确表示“这是一项预埋方案,由于该手机雷达外挂暂未染指ROE,所以相关功能并未开启(即未扫描和收集用户使用shadowsocks的任何数据)”。

那么,外挂系统突然增多,貌似并非反作弊系统变动所致。所以问题在哪里?这个与本文主题相关性不大,暂不深究。

60865857gy1fzbj7q07y3j208p0bvt9s.jpg

由于GDPR的要求,《无限法则》游戏的隐私条款中就明确指出了可能收集ShadowSocks服务器信息;而针对国内情况,GDPR并不生效,是否存在收集此类信息的情况产生。微博网友给出了一张截图,似乎在表明英雄联盟客户端存在读取 ShadowSocksR 程序的行为。此图真实性未知,目前腾讯游戏安全中心暂未进行回应。

关于隐私:有些事情是原则性问题

这件事发生之后,网络上出现了很多的讨论。有因为在游戏中遇到外挂,而归咎于博主故意搞事情的;有持“那么在意隐私,就把微信、QQ也卸载了,还玩什么游戏”之类言论的吃瓜群众;有一致支持《无限法则》的玩家;当然也有对隐私有忧患意识而支持博主的……而这些基本可以代表绝大多数人对隐私的态度了吧。

maxresdefault.jpg

收集SS配置信息用以检测外挂,但不得不承认这种做法有点“宁可错杀一千不可放过一个”。使用SS协议的软件有太多,而且电脑上运行代理软件并非就可认为使用外挂,这种方式未免考虑欠妥。笔者相信经历这件事情之后,腾讯游戏反外挂系统一定会采取新的措施检测外挂,只是时间问题。

至少在游戏这件事情上,隐私条款从来不会成为决定游戏质量的关键因素,《无限法则》亦是如此。有些事情是原则问题,涉及隐私用户有足够的知情权。GDPR条例的颁布,让很多原本习以为常的隐私侵权行为不再合法,用户也能够更加主动的授权、处理自己的个人数据。

尤其在GDPR实施之后,很多企业甚至在隐私政策上针对国内外分别采取了不同的策略。笔者没办法直接下结论,国内的隐私环境究竟是更好或者更坏。但对于自己的隐私数据问题,理应享受足够的知情权;而企业在获取一些权益的时候也同样该承担对应的责任。从这方面,笔者更期待“国内版的GDPR”诞生。这不仅仅是游戏领域,对于所有涉及用户信息的行业都是有益处的。

*本文作者:Allen别bb,本文仅代表作者个人观点,不表示FreeBuf支持该立场

# 隐私 # 无限法则
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者