TikTok inyecta código en páginas web de terceros cuando un usuario abre una página del navegador en la aplicación TikTok. Este código podría servir como keylogger, entre otras cosas. Según la red social, el código en cuestión solo se usa con fines de desarrollo.
El desarrollador e investigador de seguridad Felix Krause descubrió que cuando un usuario abre un enlace en la versión iOS de TikTok, se abre un navegador en la aplicación donde la red social puede inyectar código JavaScript. Esto permitiría registrar los datos ingresados con el teclado, incluidas las contraseñas, la información de pago y otros datos. No investigó si este también es el caso de la versión de Android de la aplicación.
TikTok confirma a Forbes que el código JavaScript sí está presente, pero que los mensajes sobre un presunto registrador de teclas son engañosos. Se dice que la controvertida pieza de código es una parte no utilizada de un SDK de terceros. “Al igual que otras plataformas, también usamos un navegador integrado en la aplicación para brindar una experiencia de usuario óptima. El código JavaScript relevante se usa para depurar, solucionar problemas y monitorear el rendimiento de la aplicación, por ejemplo, para verificar la velocidad de carga de una página y si la página falla”.
Por lo tanto, no se usaría la parte del registrador de teclas del código del SDK de terceros. No está claro quién es este tercero y si realmente necesitaría un registrador de teclas para fines de desarrollo. TikTok sugiere además que ciertos datos registrados solo se procesan localmente en el dispositivo y no se envían a los servidores de la red social.
El investigador dice en sus hallazgos, que están en línea con el descubrimiento anterior del seguimiento de Instagram y Facebook en los navegadores de la aplicación, que la declaración de TikTok posiblemente podría ser correcta. “El hecho de que una aplicación inyecte JavaScript en sitios web externos no significa necesariamente que la aplicación esté haciendo algo malicioso. No hay forma de saber exactamente qué datos recopila un navegador en la aplicación y si estos datos se reenvían o utilizan”.
Por lo tanto, no es un hecho que TikTok registre la entrada del teclado de los usuarios, y mucho menos la envíe a sus propios servidores o la almacene de otra manera. Sin embargo, es casi seguro que esto sería posible. Por esa razón, según Krause, es aconsejable copiar los enlaces del navegador a través de TikTok, pero también a través de Facebook e Instagram, y pegarlos directamente en un navegador confiable. De esta forma, las aplicaciones relevantes no pueden inyectar código para registrar datos sensibles de esta manera.