TikTok fügt Code in Webseiten von Drittanbietern ein, wenn ein Benutzer eine Browserseite in der TikTok-App öffnet. Dieser Code könnte unter anderem als Keylogger dienen. Nach Angaben des sozialen Mediums wird der betreffende Code nur für Entwicklungszwecke verwendet.
Entwickler und Sicherheitsforscher Felix Krause fand heraus, dass sich beim Öffnen eines Links in der iOS-Version von TikTok ein In-App-Browser öffnet, in den das soziale Medium JavaScript-Code einfügen kann. Dies würde ermöglichen, dass mit der Tastatur eingegebene Daten, einschließlich Passwörter, Zahlungsinformationen und andere Daten, aufgezeichnet werden. Ob dies auch für die Android-Version der Anwendung gilt, hat er nicht untersucht.
TikTok bestätigt gegenüber Forbes, dass der JavaScript-Code zwar vorhanden ist, die Meldungen über einen angeblichen Keylogger aber irreführend sind. Das umstrittene Stück Code soll ein ungenutzter Teil eines SDK eines Drittanbieters sein. „Wie andere Plattformen verwenden wir auch einen In-App-Browser, um ein optimales Benutzererlebnis zu bieten. Der entsprechende JavaScript-Code wird zum Debuggen, zur Fehlerbehebung und zur Überwachung der Leistung der Anwendung verwendet, um beispielsweise die Ladegeschwindigkeit einer Seite zu überprüfen und wenn die Seite abstürzt.“
Daher würde der Keylogger-Teil des Codes aus dem Drittanbieter-SDK nicht verwendet. Es ist nicht klar, wer dieser Drittanbieter ist und ob er tatsächlich einen Keylogger für Entwicklungszwecke benötigt. TikTok weist weiter darauf hin, dass bestimmte registrierte Daten nur lokal auf dem Gerät verarbeitet und nicht an Server des sozialen Mediums weitergeleitet werden.
Der Forscher sagt in seinen Ergebnissen, die mit der früheren Entdeckung des Trackings durch Instagram und Facebook in In-App-Browsern übereinstimmen, dass die Aussage von TikTok möglicherweise richtig sein könnte. „Nur weil eine App JavaScript in externe Websites einfügt, bedeutet das nicht unbedingt, dass die App etwas Bösartiges tut. Welche Daten ein In-App-Browser genau erfasst und ob diese Daten weitergegeben oder genutzt werden, lässt sich nicht genau sagen.“
Es ist also nicht selbstverständlich, dass TikTok die Tastatureingaben der Nutzer tatsächlich aufzeichnet, geschweige denn an die eigenen Server sendet oder anderweitig speichert. Es ist jedoch fast sicher, dass dies möglich wäre. Aus diesem Grund ist es laut Krause ratsam, Browser-Links über TikTok, aber auch über Facebook und Instagram zu kopieren und direkt in einen vertrauenswürdigen Browser einzufügen. Auf diese Weise können die relevanten Anwendungen keinen Code einschleusen, um sensible Daten auf diese Weise zu registrieren.