ユーザーが TikTok アプリでブラウザー ページを開くと、TikTok はサードパーティの Web ページにコードを挿入します。 このコードは、とりわけキーロガーとして機能する可能性があります。 ソーシャルメディアによると、問題のコードは開発目的でのみ使用されています。
開発者でセキュリティ研究者の Felix Krause は、ユーザーが TikTok の iOS バージョンでリンクを開くと、ソーシャル メディアが JavaScript コードを挿入できるアプリ内ブラウザが開くことを発見しました。 これにより、パスワード、支払い情報、その他のデータなど、キーボードで入力されたデータが記録される可能性があります。 彼は、これがアプリケーションの Android バージョンにも当てはまるかどうかを調査しませんでした。
TikTok は Forbes に対し、JavaScript コードが実際に存在することを確認していますが、キーロガーの疑いに関するメッセージは誤解を招くものです。 物議を醸しているコードは、サードパーティ SDK の未使用部分であると言われています。 「他のプラットフォームと同様に、最適なユーザー エクスペリエンスを提供するためにアプリ内ブラウザも使用しています。 関連する JavaScript コードは、アプリケーションのパフォーマンスのデバッグ、トラブルシューティング、監視に使用されます。たとえば、ページの読み込み速度やページがクラッシュしたかどうかを確認します。」
したがって、サードパーティ SDK のコードのキーロガー部分は使用されません。 このサードパーティが誰で、開発目的で実際にキーロガーが必要かどうかは明らかではありません。 TikTok はさらに、特定の登録データはデバイス上でローカルに処理されるだけで、ソーシャル メディアのサーバーには転送されないことを示唆しています。
研究者は、インスタグラムとフェイスブックによるアプリ内ブラウザでの追跡の以前の発見と一致する彼の調査結果で、TikTokの声明はおそらく正しいかもしれないと述べています. 「アプリが JavaScript を外部の Web サイトに挿入したからといって、そのアプリが悪意のあることをしているとは限りません。 アプリ内ブラウザが収集するデータと、このデータが転送されているか使用されているかを正確に知る方法はありません。」
したがって、TikTok が実際にユーザーのキーボード入力を記録することはもちろん、それを独自のサーバーに送信するか、別の方法で保存することもできません。 ただし、これが可能であることはほぼ確実です。 そのため、Krause 氏によると、ブラウザーのリンクを TikTok だけでなく、Facebook や Instagram からもコピーし、信頼できるブラウザーに直接貼り付けるのが賢明です。 このように、関連するアプリケーションはコードを挿入して機密データを登録することはできません。