Осторожно Simple TikTok Mod

Vitaliy Ostroumov

Заранее хотел бы сказать: комьюнити мододелов всегда держалось на чистом энтузиазме. Все всегда делали это ради свободы от корпоративных ограничений и ради удобства людей. Но то, во что превратилась история с Simple TikTok Mod (STTM) это пиздец, о котором больше нельзя молчать.

Короче история того, как раздутое эго одного единственного разработчика превратило обычный мод в инструмент для воровства, саботажа и шпионажа.

Началось всё далеко не с желания сделать крутой продукт.

Как спиздить мод из-за обиды

Предыстория стартует в приватном проекте TikTokModCloud (TTMK). Был там такой модератор, которого мы теперь знаем под никами swaston (он же гага, rara, hehe, часто меняет никнеймы, поэтому держите его ID в Telegram - 5571933322). Как вспоминают участники тех событий, наш герой числился в админах, но по факту «почти нихуя тем не делал».

Администрации логично надоело платить или держать человека за просто так, и его кикнули. Что делает нормальный разработчик? Идет пилить свой проект. Что делает "разработчик" STTM? Он смертельно обижается, ворует приватный мод своих бывших коллег, ломает защиту и идет хвастаться этим в личку.

Собственно, именно так, на фундаменте банального крысятничества, и зародился STTM.

«Ну можно весь функционал спиздить»

Свой путь мод продолжил ровно в том же духе. Зачем придумывать свой дизайн, продумывать UX/UI, писать уникальные фичи, заниматься хоть каким-то оформлением канала или своих ресурсов (чтобы твоим же юзерам было удобно), если можно просто забрать у тех, кто уже постарался?

Обсуждение разработчика STTM о краже функции и высмеивании клиента и его команды у которого крадет код

Очевидец который общается с разработчиком STTM

У разработчика STTM начинается мозговой штурм. Идея выдается гениальная:

Ну можно весь функционал ттю (TikTok You) спиздить

Сказано — сделано. В других диалогах они уже открыто обсуждают, как удачно позаимствовали дизайн меню настроек.

В итоге из TikTok You улетает от структуры меню до функционала "Автоогонек" и механики смены акцентного цвета. Никаких инноваций, просто Ctrl+C -> Ctrl+V чужого труда.

Мамкин дудосер

Когда ты не можешь конкурировать качеством продукта, в дело идут грязные методы. Сервера TikTok You ложатся от DoS-атак.

А потом перекладывает ответственность и затем признается

В чате гага сначала строит из себя непричастного: мол, это не я ложу сервер, это некий "hpdev" ради рофла «срет в ssh», а сервер с 95-100% packet loss. Но терпения играть эту роль хватает ненадолго. Буквально через пару сообщений автор выдает базу:

Ладно я сру и че

В других переписках он уже неприкрыто радуется:

Человек буквально гордится тем, что руинит доступ обычным пользователям других модов просто ради своего эго. Но ради чего? За какие заслуги? То что они вызвали у него зависть с того что получилось построить продукт и мод лучше чем у него?

Иллюзия безопасности и сбор данных

А вот теперь переходим к тому, почему держать этот мод на телефоне тупо опасно.

STTM везде громко заявляет, что у них нет принудительных «аварийных обновлений». На деле наглый пиздеж. В коде приложение заложен функционал авариек, т.е. пока ты не скачаешь свежую версию. Но это цветочки.

В закрытом чате авторы на полном серьезе обсуждают сбор Android ID (уникальный идентификатор вашего устройства). Сам факт, что в архитектуру мода на ТикТок закладывается сбор железа юзеров — это огромный красный флаг.

Плюс к этому, проскакивает фраза:

так запрос к серверу идет на практически любое действие

То есть каждый ваш тап по экрану, каждый лайк и свайп может логироваться на серверах STTM.

И вишенка на торте - ручные баны. В код вшит инструмент, который позволяет создателю по своему настроению вычислять личные TikTok ID пользователей и блокировать им доступ прямо в моде. Он уже делал так с дизайнером конкурирующего проекта, который упрекал его за наглый пиздинг фич вместо того чтобы придумать что-то свое.

Блокировка дизайнера из команды TikTok You в STTM

Приложение чекает акк в который входишь и сверяет его с неким блоклистом на удаленном сервере.

Вскрытие пациента

Разработчик TikTok You (шишко) расчехлил свой огромный декомпилятор и вошёл в исходный код сттм

Вскрытие проводилось через декомпилятор JADX. Забавно, что автор STTM попытался спрятать следы: строки в моде зашифрованы и расшифровываются только в процессе работы. Но кого это остановит? Для дешифровки был написан специальный плагин, и весь код оказался как на ладони (кстати, любой желающий может провести эти же проверки самостоятельно — хоть на XPosed, хоть на npatch версии).

Сам плагин вы можете скачать здесь, декомпил STTM 1.6beta4 здесь и STTM 1.5 тут

Кража системы замены шрифтов (на еще даже не вышедшей версии):

STTM 1.6beta4 (ru.patch.simpletiktokmod.FontModule)

Полное совпадение порядка методов и типов их аргументов.

Кража A/B ключей

STTM 1.6beta4 (ru.patch.simpletiktokmod.MainHook)

Полное совпадение ключей, значений и их порядка взятых из TikTok You

Кража системы "перекраски"(акцент приложения).

В TikTok You до версии 1.1 не применялась минификация, отчего имена переменных доступны в открытом виде

Совпадение имен переменных и цветов

STTM 1.6beta4 (применимо так же и к 1.5)

Совпадение имен функций и их логики

Частичное совпадение хукнутых методов самой перекраски. И полное совпадение их работы

«Один раз — случайность, два раза — совпадение, три раза — закономерность»

Возникает логичный вопрос: а есть ли в STTM вообще хоть строчка оригинального кода? Какие гарантии что STTM это не ебучий франкенштейн из функционала который он спиздил отовсюду? Ребятам из TikTok Mod Cloud тоже стоит присмотреться, ибо также есть связанная с автором STTM ссылка https://dolbaeb.me/ttmod/, по которой все четко видно

На момент публикации статьи возможно страница уже не работает

Мало того, внутри также имеется функционал для блокировки из ленты видео неугодных авторов, код который убирает видео из ленты если uid совпадает с одним из тех, который он захочет:

Почему об этом все молчат?

Всё просто: у STTM тупо нет чатов. В то время как другие команды открыто общаются с аудиторией, принимают критику и баг-репорты, у STTM есть только канал-витрина. Открой чат - он бы в первую же секунду утонул в вопросах про DDoS, баны и краденый дизайн. А так — сидишь в информационном вакууме, трешь неугодных в личке и чувствуешь себя царем.

Каждый сам решает, что ставить на свой телефон. Но доверять свои данные и устройство человеку, который начинал с крысятничества, продолжает воровством, а в свободное время по рофлу ддосит чужие проекты — идея, мягко говоря, сомнительная.

Здесь был виталик

Делайте выводы. Думайте. Комьюнити модов помойка. Подписаться