TikTok מחדיר קוד לדפי אינטרנט של צד שלישי כאשר משתמש פותח דף דפדפן באפליקציית TikTok. קוד זה יכול לשמש כ-keylogger, בין היתר. לפי המדיום החברתי, הקוד המדובר משמש רק למטרות פיתוח.
המפתח וחוקר האבטחה פליקס קראוזה גילה שכאשר משתמש פותח קישור בגרסת iOS של TikTok, נפתח דפדפן בתוך האפליקציה שבו המדיום החברתי יכול להחדיר קוד JavaScript. זה יאפשר להקליט נתונים שהוכנסו באמצעות המקלדת, כולל סיסמאות, פרטי תשלום ונתונים אחרים. הוא לא בדק האם זה כך גם בגרסת האנדרואיד של האפליקציה.
TikTok מאשרת לפורבס שקוד ה-JavaScript אכן קיים, אך ההודעות על מכשיר keylogger לכאורה מטעות. אומרים שחלק הקוד השנוי במחלוקת הוא חלק בלתי בשימוש של SDK של צד שלישי. "כמו פלטפורמות אחרות, אנו משתמשים גם בדפדפן בתוך האפליקציה כדי לספק חווית משתמש אופטימלית. קוד ה-JavaScript הרלוונטי משמש לניפוי באגים, פתרון תקלות ומעקב אחר ביצועי האפליקציה, למשל לבדיקת מהירות הטעינה של עמוד ואם הדף קורס".
לפיכך, חלק ה-keylogger של הקוד מ-SDK של צד שלישי לא ישמש. לא ברור מיהו הצד השלישי הזה והאם הם באמת יצטרכו Keylogger למטרות פיתוח. TikTok מציע עוד כי נתונים רשומים מסוימים מעובדים רק באופן מקומי במכשיר ואינם מועברים לשרתים של המדיום החברתי.
החוקר אומר בממצאיו, העומדים בקנה אחד עם גילוי מוקדם יותר של מעקב על ידי אינסטגרם ופייסבוק בדפדפנים בתוך האפליקציה, שאולי ההצהרה של TikTok יכולה להיות נכונה. "העובדה שאפליקציה מזריקה JavaScript לאתרים חיצוניים לא בהכרח אומרת שהאפליקציה עושה משהו זדוני. אין דרך לדעת בדיוק אילו נתונים אוסף דפדפן בתוך האפליקציה והאם הנתונים האלה מועברים או משתמשים בהם."
לכן זה לא מובן מאליו ש-TikTok אכן מתעד את קלט המקלדת של המשתמשים, שלא לדבר על שולח אותו לשרתים שלו או מאחסן אותו בדרך אחרת. עם זאת, כמעט בטוח שזה יהיה אפשרי. מסיבה זו, לפי קראוזה, חכם להעתיק קישורי דפדפן דרך TikTok, אבל גם דרך פייסבוק ואינסטגרם, ולהדביק אותם ישירות בדפדפן מהימן. בדרך זו, האפליקציות הרלוונטיות אינן יכולות להחדיר קוד לרישום נתונים רגישים בדרך זו.