TikTok injektas kodon en triapartajn retpaĝojn kiam uzanto malfermas retumilon en la TikTok-apliko. Ĉi tiu kodo povus servi kiel keylogger, interalie. Laŭ la socia medio, la koncerna kodo estas uzata nur por evoluigaj celoj.
Ellaboranto kaj sekureca esploristo Felix Krause trovis, ke kiam uzanto malfermas ligilon en la iOS-versio de TikTok, malfermiĝas en-apa retumilo, kie la socia medio povas injekti JavaScript-kodon. Ĉi tio ebligus registritajn datumojn enmetitajn per la klavaro, inkluzive de pasvortoj, pago-informoj kaj aliaj datumoj. Li ne esploris ĉu tio ankaŭ estas la kazo por la Android-versio de la aplikaĵo.
TikTok konfirmas al Forbes, ke la JavaScript-kodo ja ĉeestas, sed ke la mesaĝoj pri kvazaŭa klavregistrilo estas misgvidaj. La polemika peco de kodo laŭdire estas neuzata parto de triaparta SDK. "Kiel aliaj platformoj, ni ankaŭ uzas en-aplikan retumilon por provizi optimuman uzantan sperton. La koncerna JavaScript-kodo estas uzata por sencimigi, solvi problemojn kaj kontroli la agadon de la aplikaĵo, ekzemple por kontroli la ŝarĝan rapidon de paĝo kaj se la paĝo kraŝas."
Tiel, la keylogger-parto de la kodo de la tria SDK ne estus uzata. Ne estas klare, kiu ĉi tiu tria partio estas kaj ĉu ili efektive bezonus keylogger por evoluigaj celoj. TikTok plue sugestas, ke iuj registritaj datumoj estas nur prilaboritaj loke sur la aparato kaj ne estas plusenditaj al serviloj de la socia medio.
La esploristo diras en siaj trovoj, kiuj kongruas kun la pli frua malkovro de spurado de Instagram kaj Facebook en en-apaj retumiloj, ke la deklaro de TikTok eble povus esti ĝusta. "Nur ĉar aplikaĵo injektas JavaScript en eksterajn retejojn, tio ne nepre signifas, ke la programo faras ion malican. Ne ekzistas maniero scii precize kiajn datumojn kolektas en-aplika retumilo kaj ĉu ĉi tiuj datumoj estas plusenditaj aŭ uzataj."
Tial ne estas donita, ke TikTok ja registras la klavaran enigon de uzantoj, des malpli sendas ĝin al siaj propraj serviloj aŭ alie konservas ĝin. Tamen, estas preskaŭ certe, ke tio eblus. Tial, laŭ Krause, estas saĝe kopii retumligilojn per TikTok, sed ankaŭ per Facebook kaj Instagram, kaj alglui ilin rekte en fidindan retumilon. Tiamaniere, la koncernaj aplikoj ne povas injekti kodon por registri sentivajn datumojn tiamaniere.