TikTok ynjeksjet koade yn websiden fan tredden as in brûker in browserside iepenet yn 'e TikTok-app. Dizze koade koe tsjinje as keylogger, ûnder oare. Neffens it sosjale medium wurdt de oanbelangjende koade allinnich brûkt foar ûntwikkelingsdoelen.
Untwikkelder en feiligensûndersiker Felix Krause fûn dat as in brûker in keppeling iepenet yn 'e iOS-ferzje fan TikTok, in yn-app-blêder iepenet wêr't it sosjale medium JavaScript-koade kin ynjeksje. Dit soe tastean gegevens ynfierd mei it toetseboerd, ynklusyf wachtwurden, betelling ynformaasje en oare gegevens, wurde opnommen. Hy hat net ûndersocht oft dat ek it gefal is foar de Android-ferzje fan de applikaasje.
TikTok befêstiget oan Forbes dat de JavaScript-koade yndie oanwêzich is, mar dat de berjochten oer in sabeare keylogger misleidend binne. It kontroversjele stik koade wurdt sein in net brûkte diel fan in tredde-partij SDK. "Lykas oare platfoarms brûke wy ek in yn-app-browser om in optimale brûkersûnderfining te leverjen. De oanbelangjende JavaScript-koade wurdt brûkt foar debuggen, probleemoplossing en tafersjoch op de prestaasjes fan 'e applikaasje, bygelyks om de laadsnelheid fan in side te kontrolearjen en as de side crasht."
Sa soe it keylogger diel fan 'e koade fan' e tredde partij SDK net brûkt wurde. It is net dúdlik wa't dizze tredde partij is en oft se eins in keylogger nedich hawwe foar ûntwikkelingsdoelen. TikTok suggerearret fierder dat bepaalde registrearre gegevens allinich lokaal wurde ferwurke op it apparaat en net trochstjoerd wurde nei servers fan it sosjale medium.
De ûndersiker seit yn syn befiningen, dy't yn oerienstimming binne mei de eardere ûntdekking fan folgjen troch Instagram en Facebook yn yn-app-browsers, dat de ferklearring fan TikTok mooglik korrekt kin wêze. "Allinich om't in app JavaScript ynjeksje yn eksterne websiden, betsjuttet net needsaaklik dat de app wat kwea-aardich docht. D'r is gjin manier om krekt te witten hokker gegevens in yn-app-browser sammelet en oft dizze gegevens wurde trochstjoerd of brûkt.
It is dêrom net in gegeven dat TikTok yndie de toetseboerdynput fan brûkers opnimt, lit stean dat it nei har eigen servers stjoert of it oars opslaat. It is lykwols sawat wis dat dit mooglik wêze soe. Om dy reden, neffens Krause, is it ferstannich om browserkeppelings te kopiearjen fia TikTok, mar ek fia Facebook en Instagram, en direkt yn in fertroude browser te plakjen. Op dizze manier kinne de oanbelangjende applikaasjes gjin koade ynjeksje om gefoelige gegevens op dizze manier te registrearjen.