TikTok инжектира код в уеб страници на трети страни, когато потребител отвори страница на браузър в приложението TikTok. Този код може да служи като keylogger, наред с други неща. Според социалната медия въпросният код се използва само за целите на разработката.
Разработчикът и изследовател по сигурността Феликс Краузе установи, че когато потребител отвори връзка във версията на TikTok за iOS, се отваря браузър в приложението, където социалната среда може да инжектира JavaScript код. Това би позволило данните, въведени с клавиатурата, включително пароли, информация за плащане и други данни, да бъдат записани. Той не проучи дали това важи и за Android версията на приложението.
TikTok потвърждава пред Forbes, че JavaScript кодът наистина присъства, но че съобщенията за предполагаем кийлогър са подвеждащи. Твърди се, че противоречивата част от кода е неизползвана част от SDK на трета страна. „Подобно на други платформи, ние също използваме браузър в приложението, за да осигурим оптимално потребителско изживяване. Съответният JavaScript код се използва за отстраняване на грешки, отстраняване на неизправности и наблюдение на ефективността на приложението, например за проверка на скоростта на зареждане на страница и дали страницата се срива.
По този начин няма да се използва частта от кода за кийлогър от SDK на трета страна. Не е ясно коя е тази трета страна и дали наистина ще се нуждае от кийлогър за целите на разработката. Освен това TikTok предполага, че определени регистрирани данни се обработват само локално на устройството и не се препращат към сървърите на социалната среда.
Изследователят казва в своите открития, които са в съответствие с по-ранното откритие за проследяване от Instagram и Facebook в браузъри в приложения, че изявлението на TikTok може да е правилно. „Само защото дадено приложение инжектира JavaScript във външни уебсайтове, не означава непременно, че приложението прави нещо злонамерено. Няма начин да знаем точно какви данни събира браузърът в приложението и дали тези данни се препращат или използват.
Следователно не е дадено, че TikTok наистина записва въвеждането от клавиатурата на потребителите, камо ли да го изпраща до собствените си сървъри или по друг начин да го съхранява. Почти сигурно е обаче, че това би било възможно. Поради тази причина, според Краузе, е разумно да копирате връзки на браузъра чрез TikTok, но също и чрез Facebook и Instagram, и да ги поставите директно в доверен браузър. По този начин съответните приложения не могат да инжектират код за регистриране на чувствителни данни по този начин.