Το TikTok εισάγει κώδικα σε ιστοσελίδες τρίτων όταν ένας χρήστης ανοίγει μια σελίδα προγράμματος περιήγησης στην εφαρμογή TikTok. Αυτός ο κώδικας θα μπορούσε να χρησιμεύσει ως keylogger, μεταξύ άλλων. Σύμφωνα με το κοινωνικό μέσο, ο εν λόγω κώδικας χρησιμοποιείται μόνο για αναπτυξιακούς σκοπούς.
Ο προγραμματιστής και ερευνητής ασφάλειας Felix Krause διαπίστωσε ότι όταν ένας χρήστης ανοίγει έναν σύνδεσμο στην έκδοση iOS του TikTok, ανοίγει ένα πρόγραμμα περιήγησης εντός εφαρμογής όπου το κοινωνικό μέσο μπορεί να εισάγει κώδικα JavaScript. Αυτό θα επέτρεπε την καταγραφή των δεδομένων που εισάγονται με το πληκτρολόγιο, συμπεριλαμβανομένων των κωδικών πρόσβασης, των πληροφοριών πληρωμής και άλλων δεδομένων. Δεν ερεύνησε αν αυτό ισχύει και για την έκδοση Android της εφαρμογής.
Το TikTok επιβεβαιώνει στο Forbes ότι ο κώδικας JavaScript υπάρχει πράγματι, αλλά ότι τα μηνύματα σχετικά με ένα υποτιθέμενο keylogger είναι παραπλανητικά. Το αμφιλεγόμενο κομμάτι κώδικα λέγεται ότι είναι αχρησιμοποίητο μέρος ενός SDK τρίτου μέρους. «Όπως και άλλες πλατφόρμες, χρησιμοποιούμε επίσης ένα πρόγραμμα περιήγησης εντός εφαρμογής για να παρέχουμε τη βέλτιστη εμπειρία χρήστη. Ο σχετικός κώδικας JavaScript χρησιμοποιείται για τον εντοπισμό σφαλμάτων, την αντιμετώπιση προβλημάτων και την παρακολούθηση της απόδοσης της εφαρμογής, για παράδειγμα για τον έλεγχο της ταχύτητας φόρτωσης μιας σελίδας και εάν η σελίδα διακοπεί."
Έτσι, το τμήμα keylogger του κώδικα από το SDK τρίτου μέρους δεν θα χρησιμοποιηθεί. Δεν είναι σαφές ποιος είναι αυτός ο τρίτος και αν θα χρειαζόταν πραγματικά ένα keylogger για αναπτυξιακούς σκοπούς. Το TikTok προτείνει περαιτέρω ότι ορισμένα καταχωρημένα δεδομένα επεξεργάζονται μόνο τοπικά στη συσκευή και δεν προωθούνται στους διακομιστές του μέσου κοινωνικής δικτύωσης.
Ο ερευνητής λέει στα ευρήματά του, τα οποία συνάδουν με την προηγούμενη ανακάλυψη παρακολούθησης από το Instagram και το Facebook σε προγράμματα περιήγησης εντός εφαρμογής, ότι η δήλωση του TikTok θα μπορούσε ενδεχομένως να είναι σωστή. «Το ότι μια εφαρμογή εισάγει JavaScript σε εξωτερικούς ιστότοπους δεν σημαίνει απαραίτητα ότι η εφαρμογή κάνει κάτι κακόβουλο. Δεν υπάρχει τρόπος να γνωρίζουμε ακριβώς ποια δεδομένα συλλέγει ένα πρόγραμμα περιήγησης εντός εφαρμογής και εάν αυτά τα δεδομένα προωθούνται ή χρησιμοποιούνται."
Ως εκ τούτου, δεν είναι δεδομένο ότι το TikTok καταγράφει όντως την είσοδο πληκτρολογίου των χρηστών, πόσο μάλλον τα στέλνει στους δικούς του διακομιστές ή τα αποθηκεύει με άλλο τρόπο. Ωστόσο, είναι σχεδόν βέβαιο ότι αυτό θα ήταν δυνατό. Για το λόγο αυτό, σύμφωνα με τον Krause, είναι συνετό να αντιγράψετε συνδέσμους του προγράμματος περιήγησης μέσω του TikTok, αλλά και μέσω του Facebook και του Instagram και να τους επικολλήσετε απευθείας σε ένα αξιόπιστο πρόγραμμα περιήγησης. Με αυτόν τον τρόπο, οι σχετικές εφαρμογές δεν μπορούν να εισάγουν κώδικα για την καταχώριση ευαίσθητων δεδομένων με αυτόν τον τρόπο.