A TikTok kódot szúr be harmadik fél weboldalaiba, amikor a felhasználó megnyit egy böngészőoldalt a TikTok alkalmazásban. Ez a kód többek között keyloggerként is szolgálhat. A közösségi médium szerint a szóban forgó kódot csak fejlesztési célokra használják.
Felix Krause fejlesztő és biztonsági kutató azt találta, hogy amikor a felhasználó megnyit egy hivatkozást a TikTok iOS-verziójában, egy alkalmazáson belüli böngésző nyílik meg, ahová a közösségi médium JavaScript-kódot tud beilleszteni. Ez lehetővé tenné a billentyűzettel bevitt adatok rögzítését, beleértve a jelszavakat, fizetési információkat és egyéb adatokat. Nem vizsgálta, hogy ez az alkalmazás Android-verziójára is így van-e.
A TikTok megerősíti a Forbes-nak, hogy a JavaScript kód valóban jelen van, de az állítólagos keyloggerről szóló üzenetek félrevezetőek. A vitatott kódrészlet egy harmadik fél SDK-jának nem használt része. „A többi platformhoz hasonlóan mi is alkalmazáson belüli böngészőt használunk az optimális felhasználói élmény biztosítása érdekében. A megfelelő JavaScript-kódot hibakeresésre, hibaelhárításra és az alkalmazás teljesítményének figyelésére használják, például az oldal betöltési sebességének ellenőrzésére és az oldal összeomlásának ellenőrzésére.
Így a kód kulcsnaplózó része a harmadik fél SDK-jából nem kerül felhasználásra. Nem világos, hogy ki ez a harmadik fél, és hogy valóban szükségük lenne-e egy keyloggerre fejlesztési célokra. A TikTok továbbá azt javasolja, hogy bizonyos regisztrált adatokat csak lokálisan dolgozzanak fel az eszközön, és nem továbbítják azokat a közösségi médium szervereihez.
A kutató megállapításai szerint, amelyek összhangban vannak az Instagram és a Facebook által az alkalmazáson belüli böngészőkben végzett nyomon követés korábbi felfedezésével, a TikTok állítása valószínűleg helytálló. „Az, hogy egy alkalmazás JavaScriptet szúr be külső webhelyekre, nem feltétlenül jelenti azt, hogy az alkalmazás rosszindulatú tevékenységet végez. Nem lehet pontosan tudni, hogy az alkalmazáson belüli böngésző milyen adatokat gyűjt, és hogy ezeket az adatokat továbbítják-e vagy felhasználják-e."
Ezért nem magától értetődő, hogy a TikTok valóban rögzíti a felhasználók billentyűzetbevitelét, nem beszélve arról, hogy elküldi a saját szervereire vagy más módon tárolja. Az azonban szinte biztos, hogy ez lehetséges lenne. Emiatt Krause szerint bölcs dolog a böngésző hivatkozásait a TikTokon, de a Facebookon és az Instagramon keresztül is átmásolni, és közvetlenül beilleszteni egy megbízható böngészőbe. Ily módon az érintett alkalmazások nem tudnak kódot injektálni az érzékeny adatok ilyen módon történő regisztrálásához.