TikTok dælir kóða inn á vefsíður þriðja aðila þegar notandi opnar vafrasíðu í TikTok appinu. Þessi kóði gæti meðal annars þjónað sem keylogger. Samkvæmt samfélagsmiðlinum er umræddur kóði eingöngu notaður í þróunarskyni.
Hönnuður og öryggisrannsakandi Felix Krause komst að því að þegar notandi opnar hlekk í iOS útgáfunni af TikTok opnast vafri í forriti þar sem samfélagsmiðillinn getur sprautað JavaScript kóða. Þetta myndi gera kleift að skrá gögn sem slegin eru inn með lyklaborðinu, þar á meðal lykilorð, greiðsluupplýsingar og önnur gögn. Hann kannaði ekki hvort þetta eigi einnig við um Android útgáfu forritsins.
TikTok staðfestir við Forbes að JavaScript kóðinn sé sannarlega til staðar, en að skilaboðin um meintan keylogger séu villandi. Sagt er að umdeildi kóðann sé ónotaður hluti af SDK þriðja aðila. „Eins og aðrir vettvangar notum við einnig vafra í forriti til að veita bestu notendaupplifun. Viðkomandi JavaScript kóði er notaður við villuleit, bilanaleit og eftirlit með frammistöðu forritsins, til dæmis til að athuga hleðsluhraða síðu og hvort síðan hrynur.“
Þannig væri keylogger hluti kóðans frá þriðja aðila SDK ekki notaður. Það er ekki ljóst hver þessi þriðji aðili er og hvort þeir þyrftu í raun keylogger í þróunarskyni. TikTok bendir ennfremur á að tiltekin skráð gögn séu aðeins unnin á staðnum á tækinu og séu ekki send til netþjóna samfélagsmiðilsins.
Rannsakandinn segir í niðurstöðum sínum, sem eru í samræmi við fyrri uppgötvun Instagram og Facebook í vöfrum í forritum, að fullyrðing TikTok gæti mögulega verið rétt. „Bara vegna þess að app dælir JavaScript inn á ytri vefsíður þýðir það ekki endilega að appið sé að gera eitthvað illgjarnt. Það er engin leið til að vita nákvæmlega hvaða gögnum vafri í forriti safnar og hvort verið er að framsenda eða nota þessi gögn.“
Það er því ekki sjálfgefið að TikTok skrái lyklaborðsinntak notenda, hvað þá að senda það á sína eigin netþjóna eða geyma það á annan hátt. Hins vegar er næsta víst að það væri hægt. Af þeirri ástæðu, samkvæmt Krause, er skynsamlegt að afrita vafratengla í gegnum TikTok, en einnig í gegnum Facebook og Instagram, og líma þá beint inn í traustan vafra. Þannig geta viðkomandi forrit ekki sprautað kóða til að skrá viðkvæm gögn með þessum hætti.