TikTok injicerer kode i tredjepartswebsider, når en bruger åbner en browserside i TikTok-appen. Denne kode kunne blandt andet fungere som keylogger. Ifølge det sociale medie bruges den pågældende kode kun til udviklingsformål.
Udvikler og sikkerhedsforsker Felix Krause fandt ud af, at når en bruger åbner et link i iOS-versionen af TikTok, åbnes en browser i appen, hvor det sociale medie kan injicere JavaScript-kode. Dette ville gøre det muligt at registrere data, der indtastes med tastaturet, herunder adgangskoder, betalingsoplysninger og andre data. Han undersøgte ikke, om det også er tilfældet for Android-versionen af applikationen.
TikTok bekræfter over for Forbes, at JavaScript-koden faktisk er til stede, men at beskederne om en påstået keylogger er vildledende. Det kontroversielle stykke kode siges at være en ubrugt del af et tredjeparts-SDK. "Som andre platforme bruger vi også en browser i appen for at give en optimal brugeroplevelse. Den relevante JavaScript-kode bruges til debugging, fejlfinding og overvågning af applikationens ydeevne, for eksempel for at tjekke indlæsningshastigheden på en side, og hvis siden går ned."
Keylogger-delen af koden fra tredjeparts-SDK'et ville således ikke blive brugt. Det er ikke klart, hvem denne tredjepart er, og om de faktisk har brug for en keylogger til udviklingsformål. TikTok foreslår endvidere, at visse registrerede data kun behandles lokalt på enheden og ikke videresendes til servere på det sociale medie.
Forskeren siger i sine resultater, som er i tråd med den tidligere opdagelse af sporing af Instagram og Facebook i in-app browsere, at TikToks udtalelse muligvis kunne være korrekt. "Bare fordi en app injicerer JavaScript på eksterne websteder, betyder det ikke nødvendigvis, at appen gør noget ondsindet. Der er ingen måde at vide præcis, hvilke data en browser i appen indsamler, og om disse data videresendes eller bruges."
Det er derfor ikke givet, at TikTok faktisk registrerer brugernes tastaturinput, endsige sender det til sine egne servere eller på anden måde gemmer det. Det er dog næsten sikkert, at dette ville være muligt. Af den grund er det ifølge Krause klogt at kopiere browserlinks via TikTok, men også via Facebook og Instagram, og indsætte dem direkte i en betroet browser. På denne måde kan de relevante applikationer ikke injicere kode til at registrere følsomme data på denne måde.