TikTok vkládá kód na webové stránky třetích stran, když uživatel otevře stránku prohlížeče v aplikaci TikTok. Tento kód by mohl sloužit mimo jiné jako keylogger. Podle sociálního média se dotyčný kód používá pouze pro účely vývoje.
Vývojář a bezpečnostní výzkumník Felix Krause zjistil, že když uživatel otevře odkaz ve verzi TikTok pro iOS, otevře se prohlížeč v aplikaci, kam může sociální médium vložit kód JavaScript. To by umožnilo zaznamenat data zadaná pomocí klávesnice, včetně hesel, platebních informací a dalších dat. Zda je tomu tak i u verze aplikace pro Android, nezkoumal.
TikTok potvrzuje Forbesu, že kód JavaScript je skutečně přítomen, ale zprávy o údajném keyloggeru jsou zavádějící. Kontroverzní část kódu je prý nepoužitou součástí sady SDK třetí strany. „Stejně jako jiné platformy používáme také prohlížeč v aplikaci, abychom zajistili optimální uživatelský zážitek. Příslušný kód JavaScript se používá k ladění, odstraňování problémů a sledování výkonu aplikace, například ke kontrole rychlosti načítání stránky a v případě pádu stránky.“
Keyloggerová část kódu ze sady SDK třetí strany by tedy nebyla použita. Není jasné, kdo je tato třetí strana a zda by skutečně potřebovala keylogger pro účely vývoje. TikTok dále naznačuje, že určitá registrovaná data jsou zpracovávána pouze lokálně na zařízení a nejsou předávána serverům sociálního média.
Výzkumník ve svých zjištěních, která jsou v souladu s dřívějším objevem sledování ze strany Instagramu a Facebooku v prohlížečích v aplikacích, uvádí, že tvrzení TikTok by možná mohlo být správné. „Jen proto, že aplikace vkládá JavaScript na externí webové stránky, nemusí nutně znamenat, že aplikace dělá něco škodlivého. Neexistuje způsob, jak přesně vědět, jaká data prohlížeč v aplikaci shromažďuje a zda jsou tato data předávána nebo používána.“
Není tedy samozřejmé, že TikTok skutečně zaznamenává vstupy uživatelů z klávesnice, natož aby je posílal na vlastní servery nebo je jinak ukládal. Je však téměř jisté, že by to bylo možné. Z toho důvodu je podle Krause rozumné zkopírovat odkazy prohlížeče přes TikTok, ale také přes Facebook a Instagram a vložit je přímo do důvěryhodného prohlížeče. Tímto způsobem příslušné aplikace nemohou vložit kód pro registraci citlivých dat tímto způsobem.