وقتی کاربر صفحه مرورگر را در برنامه TikTok باز می کند، TikTok کد را به صفحات وب شخص ثالث تزریق می کند. این کد در میان چیزهای دیگر می تواند به عنوان یک کی لاگر عمل کند. به گفته این رسانه اجتماعی، کد مورد نظر فقط برای اهداف توسعه استفاده می شود.
فلیکس کراوس، توسعهدهنده و محقق امنیتی دریافت که وقتی کاربر پیوندی را در نسخه iOS TikTok باز میکند، یک مرورگر درون برنامهای باز میشود که در آن رسانه اجتماعی میتواند کد جاوا اسکریپت را تزریق کند. این اجازه می دهد تا داده های وارد شده با صفحه کلید، از جمله رمز عبور، اطلاعات پرداخت و سایر داده ها، ثبت شوند. او بررسی نکرد که آیا این مورد برای نسخه اندروید برنامه نیز صادق است یا خیر.
TikTok به فوربس تأیید می کند که کد جاوا اسکریپت واقعاً وجود دارد، اما پیام های مربوط به یک کی لاگر ادعایی گمراه کننده است. گفته میشود که این کد بحثبرانگیز بخشی استفاده نشده از یک SDK شخص ثالث است. مانند سایر پلتفرمها، ما نیز از یک مرورگر درون برنامهای برای ارائه یک تجربه کاربری بهینه استفاده میکنیم. کد جاوا اسکریپت مربوطه برای اشکال زدایی، عیب یابی و نظارت بر عملکرد برنامه استفاده می شود، به عنوان مثال برای بررسی سرعت بارگذاری یک صفحه و در صورت خراب شدن صفحه.
بنابراین، بخش keylogger کد از SDK شخص ثالث استفاده نخواهد شد. مشخص نیست که این شخص ثالث کیست و آیا واقعاً برای اهداف توسعه به کی لاگر نیاز دارند یا خیر. TikTok همچنین پیشنهاد می کند که برخی از داده های ثبت شده فقط به صورت محلی در دستگاه پردازش می شوند و به سرورهای رسانه اجتماعی ارسال نمی شوند.
این محقق در یافتههای خود، که مطابق با کشف قبلی ردیابی اینستاگرام و فیسبوک در مرورگرهای درون برنامهای است، میگوید که گفته TikTok احتمالاً میتواند درست باشد. فقط به این دلیل که یک برنامه جاوا اسکریپت را به وب سایت های خارجی تزریق می کند، لزوماً به این معنی نیست که برنامه کار مخربی انجام می دهد. هیچ راهی برای دانستن اینکه یک مرورگر درون برنامه ای دقیقاً چه داده هایی را جمع آوری می کند و اینکه آیا این داده ها در حال ارسال یا استفاده هستند وجود ندارد.
بنابراین مشخص نیست که TikTok در واقع ورودی صفحه کلید کاربران را ضبط می کند، چه رسد به اینکه آن را به سرورهای خود ارسال کند یا در غیر این صورت آن را ذخیره کند. با این حال، تقریباً مطمئن است که این امر امکان پذیر است. به همین دلیل، طبق گفته کراوس، عاقلانه است که پیوندهای مرورگر را از طریق TikTok، و همچنین از طریق فیس بوک و اینستاگرام کپی کنید و آنها را مستقیماً در یک مرورگر قابل اعتماد قرار دهید. به این ترتیب اپلیکیشن های مربوطه نمی توانند کدی را برای ثبت داده های حساس از این طریق تزریق کنند.