जब कोई उपयोगकर्ता टिकटॉक ऐप में एक ब्राउज़र पेज खोलता है, तो टिकटॉक तीसरे पक्ष के वेब पेजों में कोड इंजेक्ट करता है। यह कोड अन्य बातों के अलावा, एक keylogger के रूप में काम कर सकता है। सामाजिक माध्यम के अनुसार, विचाराधीन कोड का उपयोग केवल विकास उद्देश्यों के लिए किया जाता है।
डेवलपर और सुरक्षा शोधकर्ता फेलिक्स क्रॉस ने पाया कि जब कोई उपयोगकर्ता टिकटॉक के आईओएस संस्करण में एक लिंक खोलता है, तो एक इन-ऐप ब्राउज़र खुलता है जहां सामाजिक माध्यम जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यह पासवर्ड, भुगतान जानकारी और अन्य डेटा सहित कीबोर्ड के साथ दर्ज किए गए डेटा को रिकॉर्ड करने की अनुमति देगा। उन्होंने इस बात की जांच नहीं की कि क्या यह एप्लिकेशन के एंड्रॉइड वर्जन के मामले में भी है।
टिकटोक ने फोर्ब्स को पुष्टि की है कि जावास्क्रिप्ट कोड वास्तव में मौजूद है, लेकिन एक कथित कीलॉगर के बारे में संदेश भ्रामक हैं। विवादास्पद कोड को किसी तृतीय-पक्ष SDK का अप्रयुक्त भाग कहा जाता है। “अन्य प्लेटफार्मों की तरह, हम भी एक इष्टतम उपयोगकर्ता अनुभव प्रदान करने के लिए इन-ऐप ब्राउज़र का उपयोग करते हैं। प्रासंगिक जावास्क्रिप्ट कोड का उपयोग डिबगिंग, समस्या निवारण और एप्लिकेशन के प्रदर्शन की निगरानी के लिए किया जाता है, उदाहरण के लिए किसी पृष्ठ की लोडिंग गति की जांच करने के लिए और यदि पृष्ठ क्रैश हो जाता है। ”
इस प्रकार, तीसरे पक्ष एसडीके से कोड के कीलॉगर भाग का उपयोग नहीं किया जाएगा। यह स्पष्ट नहीं है कि यह तीसरा पक्ष कौन है और क्या उन्हें वास्तव में विकास उद्देश्यों के लिए एक कीलॉगर की आवश्यकता होगी। टिकटोक आगे सुझाव देता है कि कुछ पंजीकृत डेटा केवल डिवाइस पर स्थानीय रूप से संसाधित होते हैं और सामाजिक माध्यम के सर्वर पर अग्रेषित नहीं किए जाते हैं।
शोधकर्ता अपने निष्कर्षों में कहते हैं, जो इन-ऐप ब्राउज़रों में इंस्टाग्राम और फेसबुक द्वारा ट्रैकिंग की पिछली खोज के अनुरूप हैं, कि टिकटोक का कथन संभवतः सही हो सकता है। “सिर्फ इसलिए कि कोई ऐप बाहरी वेबसाइटों में जावास्क्रिप्ट को इंजेक्ट करता है, इसका मतलब यह नहीं है कि ऐप कुछ दुर्भावनापूर्ण कर रहा है। यह जानने का कोई तरीका नहीं है कि इन-ऐप ब्राउज़र कौन सा डेटा एकत्र करता है और क्या यह डेटा अग्रेषित या उपयोग किया जा रहा है।"
इसलिए ऐसा नहीं है कि टिकटॉक वास्तव में उपयोगकर्ताओं के कीबोर्ड इनपुट को रिकॉर्ड करता है, अकेले इसे अपने सर्वर पर भेजता है या अन्यथा इसे संग्रहीत करता है। हालांकि, यह लगभग तय है कि ऐसा संभव होगा। इस कारण से, क्रूस के अनुसार, ब्राउज़र लिंक को टिकटॉक के माध्यम से कॉपी करना, लेकिन फेसबुक और इंस्टाग्राम के माध्यम से भी, और उन्हें सीधे एक विश्वसनीय ब्राउज़र में पेस्ट करना बुद्धिमानी है। इस तरह, संबंधित एप्लिकेशन इस तरह से संवेदनशील डेटा को पंजीकृत करने के लिए कोड इंजेक्ट नहीं कर सकते हैं।