TikTok ubacuje kod na web stranice trećih strana kada korisnik otvori stranicu pretraživača u aplikaciji TikTok. Ovaj kod bi između ostalog mogao poslužiti kao keylogger. Prema društvenom mediju, dotični kod se koristi samo u razvojne svrhe.
Programer i istraživač sigurnosti Felix Krause otkrio je da kada korisnik otvori link u iOS verziji TikToka, otvara se preglednik unutar aplikacije u koji društveni medij može ubaciti JavaScript kod. To bi omogućilo snimanje podataka unesenih pomoću tastature, uključujući lozinke, informacije o plaćanju i druge podatke. Nije istraživao da li je to slučaj i sa Android verzijom aplikacije.
TikTok potvrđuje Forbesu da je JavaScript kod zaista prisutan, ali da su poruke o navodnom keyloggeru obmanjujuće. Za kontroverzni dio koda se kaže da je neiskorišteni dio SDK-a treće strane. “Kao i druge platforme, mi također koristimo preglednik u aplikaciji kako bismo pružili optimalno korisničko iskustvo. Odgovarajući JavaScript kod se koristi za otklanjanje grešaka, rješavanje problema i praćenje performansi aplikacije, na primjer za provjeru brzine učitavanja stranice i ako se stranica ruši.”
Prema tome, dio koda za keylogger iz SDK-a treće strane ne bi se koristio. Nije jasno ko je ova treća strana i da li bi im zaista trebao keylogger za razvojne svrhe. TikTok dalje sugerira da se određeni registrirani podaci obrađuju samo lokalno na uređaju i da se ne prosljeđuju serverima društvenog medija.
Istraživač kaže u svojim nalazima, koji su u skladu s ranijim otkrićem praćenja od strane Instagrama i Facebooka u pretraživačima unutar aplikacija, da bi TikTok-ova izjava možda mogla biti tačna. “Samo zato što aplikacija ubacuje JavaScript u vanjske web stranice ne znači nužno da aplikacija radi nešto zlonamjerno. Ne postoji način da se tačno zna koje podatke pretraživač u aplikaciji prikuplja i da li se ti podaci prosleđuju ili koriste.”
Stoga nije dato da TikTok zaista snima unose korisnika sa tastature, a kamoli da ih šalje na svoje servere ili na drugi način pohranjuje. Međutim, gotovo je sigurno da bi to bilo moguće. Iz tog razloga, prema Krauseu, pametno je kopirati linkove pretraživača putem TikToka, ali i putem Facebooka i Instagrama i zalijepiti ih direktno u pouzdani pretraživač. Na ovaj način, relevantne aplikacije ne mogu ubaciti kod za registraciju osjetljivih podataka na ovaj način.