TikTok-ը կոդ է ներարկում երրորդ կողմի վեբ էջերում, երբ օգտատերը TikTok հավելվածում բացում է դիտարկիչի էջը: Այս կոդը, ի թիվս այլ բաների, կարող է ծառայել որպես keylogger: Ըստ սոցիալական լրատվամիջոցի՝ խնդրո առարկա կոդը օգտագործվում է միայն զարգացման նպատակով։
Ծրագրավորող և անվտանգության հետազոտող Ֆելիքս Քրաուզեն պարզել է, որ երբ օգտատերը հղում է բացում TikTok-ի iOS տարբերակում, բացվում է հավելվածի զննարկիչ, որտեղ սոցիալական մեդիան կարող է ներարկել JavaScript կոդը: Սա թույլ կտա ստեղնաշարով մուտքագրված տվյալները, ներառյալ գաղտնաբառերը, վճարման տվյալները և այլ տվյալներ, գրանցել: Նա չի հետաքննել, թե արդյոք դա վերաբերում է նաև հավելվածի Android տարբերակին։
TikTok-ը հաստատում է Forbes-ին, որ JavaScript կոդը իսկապես առկա է, բայց ենթադրյալ keylogger-ի մասին հաղորդագրությունները ապակողմնորոշիչ են: Ասվում է, որ հակասական կոդի կտորը երրորդ կողմի SDK-ի չօգտագործված մաս է: «Ինչպես այլ հարթակներ, մենք նաև օգտագործում ենք ներծրագրային բրաուզեր՝ օգտատերերի օպտիմալ փորձը ապահովելու համար: Համապատասխան JavaScript կոդը օգտագործվում է վրիպազերծման, անսարքությունների վերացման և հավելվածի աշխատանքի մոնիտորինգի համար, օրինակ՝ ստուգելու էջի բեռնման արագությունը և եթե էջը խափանում է»:
Այսպիսով, երրորդ կողմի SDK-ի կոդի keylogger մասը չի օգտագործվի: Պարզ չէ, թե ով է այս երրորդ կողմը և արդյո՞ք նրանց իրականում անհրաժեշտ կլինի keylogger մշակման նպատակներով: TikTok-ը նաև առաջարկում է, որ գրանցված որոշակի տվյալներ մշակվում են միայն լոկալ սարքում և չեն փոխանցվում սոցիալական կրիչների սերվերներին:
Հետազոտողն իր բացահայտումներում, որոնք համահունչ են ավելի վաղ Instagram-ի և Facebook-ի կողմից ներծրագրային բրաուզերներում հետևելու հայտնաբերմանը, ասում է, որ TikTok-ի հայտարարությունը կարող է ճիշտ լինել: «Միայն այն պատճառով, որ հավելվածը JavaScript է ներարկում արտաքին կայքերում, չի նշանակում, որ հավելվածը վնասակար բան է անում: Չկա հստակ իմանալու, թե ինչ տվյալներ է հավաքում ներծրագրային բրաուզերը և արդյոք այդ տվյալները փոխանցվում են կամ օգտագործվում»:
Հետևաբար, հայտնի չէ, որ TikTok-ն իսկապես գրանցում է օգտատերերի ստեղնաշարի մուտքերը, առավել ևս այն ուղարկում է իր սերվերներին կամ այլ կերպ պահպանում է այն: Այնուամենայնիվ, գրեթե վստահ է, որ դա հնարավոր կլիներ: Այդ պատճառով, ըստ Քրաուզեի, խելամիտ է պատճենել բրաուզերի հղումները TikTok-ի, բայց նաև Facebook-ի և Instagram-ի միջոցով և դրանք ուղղակիորեն տեղադրել վստահելի բրաուզերի մեջ: Այս կերպ համապատասխան հավելվածները չեն կարող ծածկագիր ներարկել՝ այս կերպ զգայուն տվյալներ գրանցելու համար։