يقوم TikTok بحقن رمز في صفحات الويب التابعة لجهات خارجية عندما يفتح المستخدم صفحة متصفح في تطبيق TikTok. يمكن أن يكون هذا الرمز بمثابة keylogger ، من بين أشياء أخرى. وفقًا للوسيلة الاجتماعية ، يتم استخدام الكود المعني فقط لأغراض التطوير.
وجد المطور والباحث الأمني فيليكس كراوس أنه عندما يفتح المستخدم رابطًا في إصدار iOS من TikTok ، يتم فتح متصفح داخل التطبيق حيث يمكن للوسيط الاجتماعي حقن كود JavaScript. سيسمح ذلك بتسجيل البيانات التي يتم إدخالها باستخدام لوحة المفاتيح ، بما في ذلك كلمات المرور ومعلومات الدفع والبيانات الأخرى. ولم يحقق في ما إذا كان هذا هو الحال أيضًا بالنسبة لإصدار Android من التطبيق.
يؤكد TikTok لـ Forbes أن كود JavaScript موجود بالفعل ، لكن الرسائل حول كلوغر مزعوم مضللة. يُقال إن الجزء المثير للجدل من التعليمات البرمجية هو جزء غير مستخدم من SDK لجهة خارجية. "مثل الأنظمة الأساسية الأخرى ، نستخدم أيضًا متصفحًا داخل التطبيق لتوفير تجربة مستخدم مثالية. تُستخدم شفرة JavaScript ذات الصلة لتصحيح الأخطاء واستكشاف الأخطاء وإصلاحها ومراقبة أداء التطبيق ، على سبيل المثال للتحقق من سرعة تحميل الصفحة وما إذا كانت الصفحة تعطلت ".
وبالتالي ، لن يتم استخدام جزء keylogger من التعليمات البرمجية من SDK التابع لجهة خارجية. ليس من الواضح من هو هذا الطرف الثالث وما إذا كان سيحتاج بالفعل إلى برنامج تسجيل لوحة مفاتيح لأغراض التطوير. يقترح TikTok كذلك أن بعض البيانات المسجلة تتم معالجتها محليًا فقط على الجهاز ولا يتم إعادة توجيهها إلى خوادم الوسيط الاجتماعي.
يقول الباحث في النتائج التي توصل إليها ، والتي تتماشى مع الاكتشاف السابق للتتبع بواسطة Instagram و Facebook في المتصفحات داخل التطبيق ، أن بيان TikTok قد يكون صحيحًا. "فقط لأن التطبيق يضخ JavaScript في مواقع الويب الخارجية لا يعني بالضرورة أن التطبيق يفعل شيئًا ضارًا. لا توجد طريقة لمعرفة بالضبط البيانات التي يجمعها متصفح داخل التطبيق وما إذا كان يتم إعادة توجيه هذه البيانات أو استخدامها ".
لذلك ليس من المسلم به أن TikTok يسجل بالفعل مدخلات لوحة المفاتيح للمستخدمين ، ناهيك عن إرسالها إلى خوادمها الخاصة أو تخزينها بطريقة أخرى. ومع ذلك ، فمن شبه المؤكد أن هذا سيكون ممكنًا. لهذا السبب ، وفقًا لـ Krause ، من الحكمة نسخ روابط المتصفح عبر TikTok ، ولكن أيضًا عبر Facebook و Instagram ، ولصقها مباشرة في متصفح موثوق به. بهذه الطريقة ، لا يمكن للتطبيقات ذات الصلة إدخال رمز لتسجيل البيانات الحساسة بهذه الطريقة.