TikTok ubacuje kod na web stranice trećih strana kada korisnik otvori stranicu preglednika u aplikaciji TikTok. Ovaj kod bi između ostalog mogao poslužiti kao keylogger. Prema društvenom mediju, dotični se kod koristi samo u razvojne svrhe.
Programer i istraživač sigurnosti Felix Krause otkrio je da kada korisnik otvori poveznicu u iOS verziji TikTok-a, otvara se preglednik unutar aplikacije gdje društveni medij može ubaciti JavaScript kod. To bi omogućilo snimanje podataka unesenih tipkovnicom, uključujući lozinke, podatke o plaćanju i druge podatke. Nije istražio vrijedi li to i za Android verziju aplikacije.
TikTok potvrđuje Forbesu da je JavaScript kôd doista prisutan, ali da su poruke o navodnom keyloggeru obmanjujuće. Za kontroverzni dio koda se kaže da je neiskorišteni dio SDK-a treće strane. “Kao i druge platforme, također koristimo preglednik unutar aplikacije kako bismo pružili optimalno korisničko iskustvo. Relevantni JavaScript kôd koristi se za otklanjanje pogrešaka, rješavanje problema i praćenje performansi aplikacije, na primjer za provjeru brzine učitavanja stranice i ako se stranica ruši.”
Stoga se dio koda za keylogger iz SDK-a treće strane ne bi koristio. Nije jasno tko je ta treća strana i bi li im zapravo trebao keylogger za potrebe razvoja. TikTok nadalje sugerira da se određeni registrirani podaci obrađuju samo lokalno na uređaju i ne prosljeđuju poslužiteljima društvenog medija.
Istraživač kaže u svojim nalazima, koji su u skladu s ranijim otkrićem praćenja od strane Instagrama i Facebooka u preglednicima unutar aplikacija, da bi izjava TikToka mogla biti točna. “Samo zato što aplikacija ubacuje JavaScript u vanjske web stranice ne znači nužno da aplikacija radi nešto zlonamjerno. Ne postoji način da se točno zna koje podatke preglednik unutar aplikacije prikuplja i prosljeđuju li se ti podaci ili koriste.”
Stoga nije sigurno da TikTok doista bilježi unose korisnika s tipkovnice, a kamoli da ih šalje svojim poslužiteljima ili na neki drugi način pohranjuje. No, gotovo je sigurno da bi to bilo moguće. Iz tog razloga, smatra Krause, mudro je kopirati linkove preglednika putem TikToka, ali i putem Facebooka i Instagrama, te ih zalijepiti izravno u preglednik od povjerenja. Na taj način relevantne aplikacije ne mogu ubaciti kod za registraciju osjetljivih podataka na ovaj način.