TikTok уводзіць код у староннія вэб-старонкі, калі карыстальнік адкрывае старонку браўзера ў дадатку TikTok. Гэты код можа служыць, сярод іншага, кейлоггерам. Згодна з сацыяльнай сеткай, код, пра які ідзе гаворка, выкарыстоўваецца толькі ў мэтах распрацоўкі.
Распрацоўшчык і даследчык бяспекі Фелікс Краўзэ выявіў, што калі карыстальнік адкрывае спасылку ў версіі TikTok для iOS, адкрываецца браўзер у дадатку, куды сацыяльнае серада можа ўставіць код JavaScript. Гэта дазволіць запісваць дадзеныя, уведзеныя з клавіятуры, у тым ліку паролі, плацежную інфармацыю і іншыя даныя. Ён не даследаваў, ці гэта таксама тычыцца версіі прыкладання для Android.
TikTok пацвярджае Forbes, што код JavaScript сапраўды прысутнічае, але што паведамленні аб меркаваным кейлоггеры ўводзяць у зман. Кажуць, што спрэчны фрагмент кода з'яўляецца нявыкарыстанай часткай старонняга SDK. «Як і іншыя платформы, мы таксама выкарыстоўваем браўзер у дадатку, каб забяспечыць аптымальны карыстацкі досвед. Адпаведны код JavaScript выкарыстоўваецца для адладкі, ліквідацыі непаладак і маніторынгу прадукцыйнасці прыкладання, напрыклад, каб праверыць хуткасць загрузкі старонкі і калі старонка выходзіць з ладу».
Такім чынам, частка кода старонняга SDK для кейлоггера не будзе выкарыстоўвацца. Незразумела, хто гэты трэці бок і ці сапраўды ім спатрэбіцца кейлоггер для распрацоўкі. TikTok таксама мяркуе, што пэўныя зарэгістраваныя даныя апрацоўваюцца толькі лакальна на прыладзе і не накіроўваюцца на серверы сацыяльнага асяроддзя.
Даследчык кажа ў сваіх высновах, якія адпавядаюць ранейшаму адкрыццю адсочвання Instagram і Facebook ва ўбудаваных браўзерах, што заява TikTok можа быць правільнай. «Тое, што праграма ўводзіць JavaScript у знешнія вэб-сайты, не абавязкова азначае, што праграма робіць нешта шкоднаснае. Немагчыма дакладна даведацца, якія даныя збірае браўзер у дадатку і ці гэтыя даныя перасылаюцца або выкарыстоўваюцца».
Таму невядома, што TikTok сапраўды запісвае ўвод карыстальнікаў з клавіятуры, не кажучы ўжо пра тое, што адпраўляе яго на ўласныя серверы або захоўвае іншым чынам. Аднак амаль упэўнена, што гэта было б магчыма. Па гэтай прычыне, паводле Краўзэ, разумна капіяваць спасылкі браўзераў праз TikTok, а таксама праз Facebook і Instagram, і ўстаўляць іх непасрэдна ў надзейны браўзер. Такім чынам, адпаведныя праграмы не могуць уводзіць код для рэгістрацыі канфідэнцыяльных даных такім чынам.