TikTok sisestab koodi kolmanda osapoole veebilehtedele, kui kasutaja avab TikToki rakenduses brauseri lehe. See kood võib muu hulgas toimida klahvilogijana. Vastavalt sotsiaalsele meediumile kasutatakse kõnealust koodi ainult arenduse eesmärgil.
Arendaja ja turvateadlane Felix Krause leidis, et kui kasutaja avab TikToki iOS-i versioonis lingi, avaneb rakendusesisene brauser, kuhu sotsiaalmeedia saab JavaScripti koodi sisestada. See võimaldaks salvestada klaviatuuriga sisestatud andmeid, sealhulgas paroole, makseteavet ja muid andmeid. Ta ei uurinud, kas see kehtib ka rakenduse Androidi versiooni puhul.
TikTok kinnitab Forbesile, et JavaScripti kood on tõepoolest olemas, kuid teated väidetava klahvilogija kohta on eksitavad. Väidetavalt on vastuoluline kooditükk kolmanda osapoole SDK kasutamata osa. „Nagu teised platvormid, kasutame optimaalse kasutajakogemuse pakkumiseks ka rakendusesisest brauserit. Vastavat JavaScripti koodi kasutatakse silumiseks, tõrkeotsinguks ja rakenduse jõudluse jälgimiseks, näiteks kontrollimaks lehe laadimiskiirust ja seda, kas leht jookseb kokku.
Seega ei kasutata kolmanda osapoole SDK koodi klahvilogija osa. Pole selge, kes see kolmas osapool on ja kas neil oleks ka tegelikult arenduse eesmärgil klahvilogijat vaja. TikTok soovitab lisaks, et teatud registreeritud andmeid töödeldakse seadmes ainult kohapeal ja neid ei edastata sotsiaalmeediumi serveritesse.
Teadlane ütleb oma järeldustes, mis on kooskõlas Instagrami ja Facebooki varasema jälgimise avastusega rakendusesiseste brauserite puhul, et TikToki väide võib olla õige. "See, et rakendus sisestab JavaScripti välistele veebisaitidele, ei tähenda tingimata, et rakendus teeb midagi pahatahtlikku. Ei saa kuidagi täpselt teada, milliseid andmeid rakendusesisene brauser kogub ja kas neid andmeid edastatakse või kasutatakse.
Seetõttu pole kindel, et TikTok tõepoolest salvestab kasutajate klaviatuurisisendi, rääkimata selle saatmisest oma serveritesse või muul viisil salvestamisest. Siiski on peaaegu kindel, et see oleks võimalik. Sel põhjusel on Krause sõnul mõistlik kopeerida brauseri lingid TikToki, aga ka Facebooki ja Instagrami kaudu ning kleepida need otse usaldusväärsesse brauserisse. Sel viisil ei saa vastavad rakendused tundlike andmete registreerimiseks koodi sisestada.