TikTok-ek hirugarrenen web orrietan txertatzen du kodea erabiltzaile batek TikTok aplikazioan arakatzaile-orri bat irekitzen duenean. Kode honek keylogger gisa balio dezake, besteak beste. Komunikabide sozialaren arabera, aipatutako kodea garapenerako soilik erabiltzen da.
Felix Krause garatzaile eta segurtasun ikertzaileak aurkitu zuen erabiltzaile batek TikTok-en iOS bertsioan esteka bat irekitzen duenean, aplikazio barruko arakatzaile bat irekitzen dela, non gizarte-komunikabideak JavaScript kodea injektatu dezakeen. Horri esker, teklatuarekin sartutako datuak, pasahitzak, ordainketa-informazioa eta bestelako datuak barne, erregistratu ahal izango dira. Ez zuen ikertu aplikazioaren Android bertsioan ere hori gertatzen den.
TikTok-ek Forbes-i baieztatu dio JavaScript kodea benetan dagoela, baina ustezko keylogger bati buruzko mezuak engainagarriak direla. Kode polemikoa hirugarrenen SDK baten erabili gabeko zati bat dela esaten da. "Beste plataformak bezala, aplikazio barneko arakatzailea ere erabiltzen dugu erabiltzaile-esperientzia optimoa eskaintzeko. Dagokion JavaScript kodea aplikazioaren arazketa, arazoak konpontzeko eta errendimendua kontrolatzeko erabiltzen da, adibidez orri baten karga-abiadura egiaztatzeko eta orria huts egiten bada".
Horrela, hirugarrenen SDK-ko kodearen keylogger zatia ez litzateke erabiliko. Ez dago argi hirugarren hori nor den eta garapenerako tekla-logger bat beharko luketen ala ez. TikTok-ek iradokitzen du erregistratutako datu batzuk gailuan lokalean soilik prozesatzen direla eta ez direla medio sozialeko zerbitzarietara bidaltzen.
Ikertzaileak dio bere aurkikuntzetan, Instagramek eta Facebookek aplikazio barruko arakatzaileetan egindako jarraipenaren aurkikuntzarekin bat datozenak, TikTok-en adierazpena zuzena izan daitekeela. “Aplikazio batek JavaScript kanpoko webguneetan sartzeak ez du zertan esan nahi aplikazioak zerbait gaiztoa egiten ari denik. Ez dago aplikazio barruko arakatzaile batek zer datu biltzen dituen eta datu horiek birbidaltzen edo erabiltzen ari diren jakiteko modurik.
Beraz, ez da jakina TikTok erabiltzaileen teklatuaren sarrera erregistratzea, are gutxiago bere zerbitzarietara bidaltzea edo bestela gordetzea. Hala ere, ia ziur da hori posible izango litzatekeela. Horregatik, Krauseren arabera, komeni da arakatzailearen estekak TikTok bidez kopiatzea, baina baita Facebook eta Instagram bidez ere, eta zuzenean fidagarri den arakatzaile batean itsatsi. Modu honetan, dagozkion aplikazioek ezin dute kodea sartu datu sentikorrak modu honetan erregistratzeko.