TikTok inietta il codice in pagine Web di terze parti quando un utente apre una pagina del browser nell'app TikTok. Questo codice potrebbe fungere da keylogger, tra le altre cose. Secondo il social media, il codice in questione viene utilizzato solo per scopi di sviluppo.
Lo sviluppatore e ricercatore sulla sicurezza Felix Krause ha scoperto che quando un utente apre un collegamento nella versione iOS di TikTok, si apre un browser in-app in cui il social media può iniettare codice JavaScript. Ciò consentirebbe di registrare i dati inseriti con la tastiera, comprese password, informazioni di pagamento e altri dati. Non ha indagato se questo vale anche per la versione Android dell'applicazione.
TikTok conferma a Forbes che il codice JavaScript è effettivamente presente, ma che i messaggi su un presunto keylogger sono fuorvianti. Si dice che il controverso pezzo di codice sia una parte inutilizzata di un SDK di terze parti. “Come altre piattaforme, utilizziamo anche un browser in-app per fornire un'esperienza utente ottimale. Il codice JavaScript pertinente viene utilizzato per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni dell'applicazione, ad esempio per verificare la velocità di caricamento di una pagina e se la pagina si arresta in modo anomalo".
Pertanto, la parte del codice keylogger dell'SDK di terze parti non verrebbe utilizzata. Non è chiaro chi sia questa terza parte e se avrebbe effettivamente bisogno di un keylogger per scopi di sviluppo. TikTok suggerisce inoltre che alcuni dati registrati vengono elaborati solo localmente sul dispositivo e non vengono inoltrati ai server del social media.
Il ricercatore afferma nelle sue scoperte, che sono in linea con la precedente scoperta del tracciamento da parte di Instagram e Facebook nei browser in-app, che l'affermazione di TikTok potrebbe essere corretta. "Solo perché un'app inietta JavaScript in siti Web esterni non significa necessariamente che l'app stia facendo qualcosa di dannoso. Non c'è modo di sapere esattamente quali dati raccoglie un browser in-app e se questi dati vengono inoltrati o utilizzati".
Non è quindi un dato di fatto che TikTok registri effettivamente l'input da tastiera degli utenti, tanto meno lo invii ai propri server o lo memorizzi in altro modo. Tuttavia, è quasi certo che ciò sarebbe possibile. Per questo motivo, secondo Krause, è consigliabile copiare i collegamenti del browser tramite TikTok, ma anche tramite Facebook e Instagram e incollarli direttamente in un browser affidabile. In questo modo, le applicazioni interessate non possono iniettare codice per registrare dati sensibili in questo modo.