Mae TikTok yn chwistrellu cod i dudalennau gwe trydydd parti pan fydd defnyddiwr yn agor tudalen porwr yn yr app TikTok. Gallai'r cod hwn wasanaethu fel keylogger, ymhlith pethau eraill. Yn ôl y cyfrwng cymdeithasol, dim ond at ddibenion datblygu y defnyddir y cod dan sylw.
Canfu'r datblygwr a'r ymchwilydd diogelwch Felix Krause, pan fydd defnyddiwr yn agor dolen yn fersiwn iOS TikTok, mae porwr mewn-app yn agor lle gall y cyfrwng cymdeithasol chwistrellu cod JavaScript. Byddai hyn yn caniatáu i ddata a gofnodwyd gyda'r bysellfwrdd, gan gynnwys cyfrineiriau, gwybodaeth am daliadau a data arall, gael eu cofnodi. Ni ymchwiliodd i weld a yw hyn hefyd yn wir ar gyfer fersiwn Android y cais.
Mae TikTok yn cadarnhau i Forbes fod y cod JavaScript yn wir yn bresennol, ond bod y negeseuon am keylogger honedig yn gamarweiniol. Dywedir bod y darn dadleuol o god yn rhan nas defnyddiwyd o SDK trydydd parti. “Fel platfformau eraill, rydyn ni hefyd yn defnyddio porwr mewn-app i ddarparu'r profiad defnyddiwr gorau posibl. Defnyddir y cod JavaScript perthnasol ar gyfer dadfygio, datrys problemau a monitro perfformiad y rhaglen, er enghraifft i wirio cyflymder llwytho tudalen ac a yw'r dudalen yn damwain.”
Felly, ni fyddai cyfran keylogger y cod o'r trydydd parti SDK yn cael ei ddefnyddio. Nid yw'n glir pwy yw'r trydydd parti hwn ac a fyddai angen keylogger arnynt mewn gwirionedd at ddibenion datblygu. Mae TikTok yn awgrymu ymhellach mai dim ond yn lleol y caiff rhai data cofrestredig eu prosesu ar y ddyfais ac nad yw'n cael ei anfon ymlaen at weinyddion y cyfrwng cymdeithasol.
Dywed yr ymchwilydd yn ei ganfyddiadau, sy'n cyd-fynd â'r darganfyddiad cynharach o olrhain gan Instagram a Facebook mewn porwyr mewn-app, y gallai datganiad TikTok fod yn gywir o bosibl. “Nid yw'r ffaith bod ap yn chwistrellu JavaScript i wefannau allanol o reidrwydd yn golygu bod yr ap yn gwneud rhywbeth maleisus. Nid oes unrhyw ffordd o wybod yn union pa ddata y mae porwr mewn-app yn ei gasglu ac a yw'r data hwn yn cael ei anfon ymlaen neu ei ddefnyddio."
Nid yw'n cael ei ystyried felly bod TikTok yn wir yn cofnodi mewnbwn bysellfwrdd defnyddwyr, heb sôn am ei anfon at ei weinyddion ei hun neu ei storio fel arall. Fodd bynnag, mae bron yn sicr y byddai hyn yn bosibl. Am y rheswm hwnnw, yn ôl Krause, mae'n ddoeth copïo dolenni porwr trwy TikTok, ond hefyd trwy Facebook ac Instagram, a'u gludo'n uniongyrchol i borwr dibynadwy. Yn y modd hwn, ni all y ceisiadau perthnasol chwistrellu cod i gofrestru data sensitif yn y modd hwn.