TikTok ruiskuttaa koodia kolmannen osapuolen verkkosivuille, kun käyttäjä avaa selainsivun TikTok-sovelluksessa. Tämä koodi voisi toimia näppäinloggerina muun muassa. Sosiaalisen median mukaan kyseistä koodia käytetään vain kehitystarkoituksiin.
Kehittäjä ja tietoturvatutkija Felix Krause havaitsi, että kun käyttäjä avaa linkin TikTokin iOS-versiossa, sovelluksen sisäinen selain avautuu, johon sosiaalinen media voi syöttää JavaScript-koodia. Näin näppäimistöllä syötetyt tiedot, kuten salasanat, maksutiedot ja muut tiedot, voidaan tallentaa. Hän ei tutkinut, päteekö tämä myös sovelluksen Android-versioon.
TikTok vahvistaa Forbesille, että JavaScript-koodi on todellakin olemassa, mutta viestit väitetystä keyloggerista ovat harhaanjohtavia. Kiistanalaisen koodinpätkän sanotaan olevan kolmannen osapuolen SDK:n käyttämätön osa. ”Muiden alustojen tapaan käytämme myös sovelluksen sisäistä selainta tarjotaksemme optimaalisen käyttökokemuksen. Asianmukaista JavaScript-koodia käytetään virheenkorjaukseen, vianetsintään ja sovelluksen suorituskyvyn valvontaan, esimerkiksi sivun latausnopeuden ja sivun kaatumisen tarkistamiseen.
Näin ollen kolmannen osapuolen SDK:n koodin keylogger-osaa ei käytetä. Ei ole selvää, kuka tämä kolmas osapuoli on ja tarvitsevatko he todella keyloggerin kehitystarkoituksiin. TikTok ehdottaa lisäksi, että tiettyjä rekisteröityjä tietoja käsitellään vain paikallisesti laitteella, eikä niitä välitetä sosiaalisen median palvelimille.
Tutkija sanoo löydöissään, jotka ovat linjassa Instagramin ja Facebookin aikaisemman havainnon seurannan kanssa sovelluksen sisäisissä selaimissa, että TikTokin väite saattaa pitää paikkansa. "Se, että sovellus ruiskuttaa JavaScriptiä ulkoisille verkkosivustoille, ei välttämättä tarkoita, että sovellus tekee jotain haitallista. Ei ole mitään keinoa tietää tarkalleen, mitä tietoja sovelluksen sisäinen selain kerää ja välitetäänkö tai käytetäänkö näitä tietoja."
Siksi ei ole itsestään selvää, että TikTok todellakin tallentaa käyttäjien näppäimistösyötteitä, saati sitten lähettää sen omille palvelimilleen tai muuten tallentaa sen. On kuitenkin lähes varmaa, että tämä olisi mahdollista. Tästä syystä on Krausen mukaan viisasta kopioida selainlinkit TikTokin, mutta myös Facebookin ja Instagramin kautta ja liittää ne suoraan luotettavaan selaimeen. Tällä tavalla asiaankuuluvat sovellukset eivät voi syöttää koodia arkaluonteisten tietojen rekisteröimiseksi tällä tavalla.