TikTok spuit kode in derdeparty-webbladsye in wanneer 'n gebruiker 'n blaaierbladsy in die TikTok-toepassing oopmaak. Hierdie kode kan onder andere as 'n keylogger dien. Volgens die sosiale medium word die betrokke kode slegs vir ontwikkelingsdoeleindes gebruik.
Ontwikkelaar en sekuriteitsnavorser Felix Krause het gevind dat wanneer 'n gebruiker 'n skakel in die iOS-weergawe van TikTok oopmaak, 'n inprogram-blaaier oopmaak waar die sosiale medium JavaScript-kode kan inspuit. Dit sal toelaat dat data wat met die sleutelbord ingevoer word, insluitend wagwoorde, betalingsinligting en ander data, aangeteken kan word. Hy het nie ondersoek ingestel of dit ook die geval is vir die Android-weergawe van die toepassing nie.
TikTok bevestig aan Forbes dat die JavaScript-kode wel teenwoordig is, maar dat die boodskappe oor 'n beweerde keylogger misleidend is. Daar word gesê dat die omstrede stuk kode 'n ongebruikte deel van 'n derdeparty-SDK is. “Soos ander platforms, gebruik ons ook 'n inprogram-blaaier om 'n optimale gebruikerservaring te bied. Die toepaslike JavaScript-kode word gebruik vir ontfouting, foutsporing en monitering van die werkverrigting van die toepassing, byvoorbeeld om die laaispoed van 'n bladsy na te gaan en of die bladsy ineenstort.”
Dus sal die keylogger-gedeelte van die kode van die derdeparty-SDK nie gebruik word nie. Dit is nie duidelik wie hierdie derde party is en of hulle werklik 'n keylogger vir ontwikkelingsdoeleindes benodig nie. TikTok stel verder voor dat sekere geregistreerde data slegs plaaslik op die toestel verwerk word en nie na bedieners van die sosiale medium aangestuur word nie.
Die navorser sê in sy bevindinge, wat ooreenstem met die vroeëre ontdekking van opsporing deur Instagram en Facebook in inprogram-blaaiers, dat TikTok se stelling moontlik korrek kan wees. “Net omdat 'n toepassing JavaScript by eksterne webwerwe inspuit, beteken dit nie noodwendig dat die toepassing iets kwaadwillig doen nie. Daar is geen manier om presies te weet watter data 'n inprogram-blaaier insamel en of hierdie data aangestuur of gebruik word nie."
Dit is dus nie 'n gegewe dat TikTok inderdaad die sleutelbordinvoer van gebruikers opneem nie, wat nog te sê dit na sy eie bedieners stuur of dit andersins stoor. Dit is egter byna seker dat dit moontlik sou wees. Daarom is dit volgens Krause wys om blaaierskakels via TikTok, maar ook via Facebook en Instagram te kopieer en direk in 'n betroubare blaaier te plak. Op hierdie manier kan die betrokke toepassings nie kode inspuit om sensitiewe data op hierdie manier te registreer nie.