TikTok menyuntikkan kode ke halaman web pihak ketiga saat pengguna membuka halaman browser di aplikasi TikTok. Kode ini dapat berfungsi sebagai keylogger, antara lain. Menurut media sosial, kode yang dimaksud hanya digunakan untuk tujuan pengembangan.
Pengembang dan peneliti keamanan Felix Krause menemukan bahwa ketika pengguna membuka tautan di TikTok versi iOS, browser dalam aplikasi terbuka di mana media sosial dapat menyuntikkan kode JavaScript. Ini akan memungkinkan data yang dimasukkan dengan keyboard, termasuk kata sandi, informasi pembayaran, dan data lainnya, untuk direkam. Dia tidak menyelidiki apakah ini juga berlaku untuk aplikasi versi Android.
TikTok mengonfirmasi kepada Forbes bahwa kode JavaScript memang ada, tetapi pesan tentang dugaan keylogger menyesatkan. Potongan kode yang kontroversial dikatakan sebagai bagian yang tidak digunakan dari SDK pihak ketiga. “Seperti platform lainnya, kami juga menggunakan browser dalam aplikasi untuk memberikan pengalaman pengguna yang optimal. Kode JavaScript yang relevan digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja aplikasi, misalnya untuk memeriksa kecepatan pemuatan halaman dan jika halaman mogok.”
Dengan demikian, bagian keylogger dari kode dari SDK pihak ketiga tidak akan digunakan. Tidak jelas siapa pihak ketiga ini dan apakah mereka benar-benar membutuhkan keylogger untuk tujuan pengembangan. TikTok lebih lanjut menyarankan bahwa data terdaftar tertentu hanya diproses secara lokal di perangkat dan tidak diteruskan ke server media sosial.
Peneliti mengatakan dalam temuannya, yang sejalan dengan penemuan pelacakan sebelumnya oleh Instagram dan Facebook di browser dalam aplikasi, bahwa pernyataan TikTok mungkin benar. “Hanya karena aplikasi menyuntikkan JavaScript ke situs web eksternal tidak berarti aplikasi tersebut melakukan sesuatu yang berbahaya. Tidak ada cara untuk mengetahui secara pasti data apa yang dikumpulkan oleh browser dalam aplikasi dan apakah data ini diteruskan atau digunakan.”
Oleh karena itu, tidak dapat dipastikan bahwa TikTok memang merekam input keyboard pengguna, apalagi mengirimkannya ke servernya sendiri atau menyimpannya. Namun, hampir pasti bahwa ini akan mungkin. Oleh karena itu, menurut Krause, adalah bijaksana untuk menyalin tautan browser melalui TikTok, tetapi juga melalui Facebook dan Instagram, dan menempelkannya langsung ke browser tepercaya. Dengan cara ini, aplikasi yang relevan tidak dapat memasukkan kode untuk mendaftarkan data sensitif dengan cara ini.