কোনো ব্যবহারকারী TikTok অ্যাপে একটি ব্রাউজার পৃষ্ঠা খোলে TikTok তৃতীয় পক্ষের ওয়েব পৃষ্ঠাগুলিতে কোড ইনজেক্ট করে। এই কোডটি অন্যান্য জিনিসগুলির মধ্যে একটি কীলগার হিসাবে কাজ করতে পারে। সামাজিক মাধ্যমের মতে, প্রশ্নে কোডটি শুধুমাত্র উন্নয়নের উদ্দেশ্যে ব্যবহার করা হয়।
বিকাশকারী এবং নিরাপত্তা গবেষক ফেলিক্স ক্রাউস দেখেছেন যে যখন কোনও ব্যবহারকারী TikTok-এর iOS সংস্করণে একটি লিঙ্ক খোলে, একটি ইন-অ্যাপ ব্রাউজার খোলে যেখানে সামাজিক মাধ্যম জাভাস্ক্রিপ্ট কোড ইনজেক্ট করতে পারে। এটি পাসওয়ার্ড, অর্থপ্রদানের তথ্য এবং অন্যান্য ডেটা সহ কীবোর্ডের সাথে প্রবেশ করা ডেটা রেকর্ড করার অনুমতি দেবে। অ্যাপ্লিকেশনটির অ্যান্ড্রয়েড সংস্করণের ক্ষেত্রেও এটি কিনা তা তিনি তদন্ত করেননি।
TikTok ফোর্বসকে নিশ্চিত করে যে জাভাস্ক্রিপ্ট কোডটি প্রকৃতপক্ষে উপস্থিত, কিন্তু একটি অভিযুক্ত কীলগার সম্পর্কে বার্তাগুলি বিভ্রান্তিকর। কোডের বিতর্কিত অংশটিকে তৃতীয় পক্ষের SDK-এর একটি অব্যবহৃত অংশ বলা হয়। “অন্যান্য প্ল্যাটফর্মের মতো, আমরা একটি সর্বোত্তম ব্যবহারকারীর অভিজ্ঞতা প্রদানের জন্য একটি ইন-অ্যাপ ব্রাউজার ব্যবহার করি। প্রাসঙ্গিক জাভাস্ক্রিপ্ট কোডটি ডিবাগিং, সমস্যা সমাধান এবং অ্যাপ্লিকেশনটির কর্মক্ষমতা নিরীক্ষণের জন্য ব্যবহার করা হয়, উদাহরণস্বরূপ একটি পৃষ্ঠার লোডিং গতি পরীক্ষা করতে এবং পৃষ্ঠাটি ক্র্যাশ হলে।"
সুতরাং, তৃতীয় পক্ষের SDK থেকে কোডের কী-লগার অংশ ব্যবহার করা হবে না। এই তৃতীয় পক্ষ কে এবং তাদের উন্নয়নের উদ্দেশ্যে একটি কীলগারের প্রয়োজন হবে কিনা তা স্পষ্ট নয়। TikTok আরও পরামর্শ দেয় যে নির্দিষ্ট নিবন্ধিত ডেটা শুধুমাত্র ডিভাইসে স্থানীয়ভাবে প্রক্রিয়া করা হয় এবং সামাজিক মাধ্যমের সার্ভারগুলিতে ফরোয়ার্ড করা হয় না।
গবেষক তার অনুসন্ধানে বলেছেন, যা ইন-অ্যাপ ব্রাউজারে ইনস্টাগ্রাম এবং ফেসবুকের ট্র্যাকিংয়ের আগের আবিষ্কারের সাথে সামঞ্জস্যপূর্ণ, টিকটকের বিবৃতি সম্ভবত সঠিক হতে পারে। “একটি অ্যাপ বহিরাগত ওয়েবসাইটগুলিতে জাভাস্ক্রিপ্ট ইনজেক্ট করে তার মানে এই নয় যে অ্যাপটি দূষিত কিছু করছে। একটি ইন-অ্যাপ ব্রাউজার ঠিক কী ডেটা সংগ্রহ করে এবং এই ডেটা ফরোয়ার্ড বা ব্যবহার করা হচ্ছে কিনা তা জানার কোনও উপায় নেই।”
তাই এটি দেওয়া হয় না যে TikTok প্রকৃতপক্ষে ব্যবহারকারীদের কীবোর্ড ইনপুট রেকর্ড করে, এটি তার নিজস্ব সার্ভারে পাঠায় বা অন্যথায় এটি সংরক্ষণ করে। তবে এটা যে সম্ভব হবে তা প্রায় নিশ্চিত। সেই কারণে, ক্রাউসের মতে, টিকটকের মাধ্যমে ব্রাউজার লিঙ্কগুলি অনুলিপি করা বুদ্ধিমানের কাজ, তবে ফেসবুক এবং ইনস্টাগ্রামের মাধ্যমেও এবং সেগুলি সরাসরি একটি বিশ্বস্ত ব্রাউজারে পেস্ট করা। এইভাবে, প্রাসঙ্গিক অ্যাপ্লিকেশন এইভাবে সংবেদনশীল ডেটা নিবন্ধন করার জন্য কোড ইনজেক্ট করতে পারে না।