TikTok inxecta código en páxinas web de terceiros cando un usuario abre unha páxina do navegador na aplicación TikTok. Este código podería servir como keylogger, entre outras cousas. Segundo o medio social, o código en cuestión só se utiliza con fins de desenvolvemento.
O desenvolvedor e investigador de seguridade Felix Krause descubriu que cando un usuario abre unha ligazón na versión iOS de TikTok, ábrese un navegador na aplicación onde o medio social pode inxectar código JavaScript. Isto permitiría rexistrar os datos introducidos co teclado, incluíndo contrasinais, información de pago e outros datos. Non investigou se este tamén é o caso da versión para Android da aplicación.
TikTok confirma a Forbes que o código JavaScript está realmente presente, pero que as mensaxes sobre un suposto keylogger son enganosas. Dise que o controvertido código é unha parte non utilizada dun SDK de terceiros. "Como outras plataformas, tamén usamos un navegador na aplicación para ofrecer unha experiencia de usuario óptima. O código JavaScript relevante úsase para depurar, solucionar problemas e supervisar o rendemento da aplicación, por exemplo, para comprobar a velocidade de carga dunha páxina e se a páxina falla".
Así, a parte do keylogger do código do SDK de terceiros non se usaría. Non está claro quen é este terceiro e se realmente necesitarían un keylogger para fins de desenvolvemento. TikTok suxire ademais que certos datos rexistrados só se procesan localmente no dispositivo e non se reenvían aos servidores do medio social.
O investigador di nos seus descubrimentos, que están en consonancia co descubrimento anterior do seguimento por parte de Instagram e Facebook nos navegadores das aplicacións, que a afirmación de TikTok podería ser correcta. "Só porque unha aplicación inxecte JavaScript en sitios web externos non significa necesariamente que a aplicación estea facendo algo malicioso. Non hai forma de saber exactamente que datos recompila un navegador na aplicación e se estes datos se están a reenviar ou utilizar".
Polo tanto, non é un feito que TikTok rexistre realmente a entrada do teclado dos usuarios, e moito menos que a envía aos seus propios servidores ou que a almacene. Non obstante, é case seguro que isto sería posible. Por ese motivo, segundo Krause, é conveniente copiar as ligazóns do navegador a través de TikTok, pero tamén a través de Facebook e Instagram, e pegalas directamente nun navegador de confianza. Deste xeito, as aplicacións relevantes non poden inxectar código para rexistrar datos sensibles deste xeito.