TikTok ინექციებს კოდს მესამე მხარის ვებ გვერდებში, როდესაც მომხმარებელი ხსნის ბრაუზერის გვერდს TikTok აპში. ეს კოდი შეიძლება იყოს keylogger, სხვა საკითხებთან ერთად. სოციალური მედიის ცნობით, აღნიშნული კოდი გამოიყენება მხოლოდ განვითარების მიზნებისთვის.
დეველოპერმა და უსაფრთხოების მკვლევარმა ფელიქს კრაუზემ აღმოაჩინა, რომ როდესაც მომხმარებელი ხსნის ბმულს TikTok-ის iOS ვერსიაში, იხსნება აპს-შიდა ბრაუზერი, სადაც სოციალურ მედიას შეუძლია JavaScript კოდის ინექცია. ეს საშუალებას მისცემს კლავიატურასთან შეყვანილ მონაცემებს, მათ შორის პაროლებს, გადახდის ინფორმაციას და სხვა მონაცემებს, ჩაიწეროს. მან არ გამოიკვლია, ასეა თუ არა ეს აპლიკაციის Android ვერსიისთვისაც.
TikTok ადასტურებს Forbes-ს, რომ JavaScript კოდი ნამდვილად არსებობს, მაგრამ სავარაუდო keylogger-ის შესახებ შეტყობინებები შეცდომაში შემყვანია. ნათქვამია, რომ საკამათო კოდი არის მესამე მხარის SDK-ის გამოუყენებელი ნაწილი. „სხვა პლატფორმების მსგავსად, ჩვენ ასევე ვიყენებთ აპს-შიდა ბრაუზერს მომხმარებლის ოპტიმალური გამოცდილების უზრუნველსაყოფად. შესაბამისი JavaScript კოდი გამოიყენება გამართვისთვის, პრობლემების აღმოსაფხვრელად და აპლიკაციის მუშაობის მონიტორინგისთვის, მაგალითად, გვერდის ჩატვირთვის სიჩქარის შესამოწმებლად და თუ გვერდი ავარიულია.”
ამრიგად, მესამე მხარის SDK კოდის keylogger ნაწილი არ იქნება გამოყენებული. გაურკვეველია ვინ არის ეს მესამე მხარე და დასჭირდება თუ არა მათ რეალურად keylogger განვითარების მიზნებისთვის. TikTok დამატებით ვარაუდობს, რომ გარკვეული რეგისტრირებული მონაცემები მუშავდება მხოლოდ ადგილობრივად მოწყობილობაზე და არ გადაგზავნილია სოციალური მედიის სერვერებზე.
მკვლევარი ამბობს თავის დასკვნებში, რომლებიც ემთხვევა ადრინდელ აღმოჩენას Instagram-ისა და Facebook-ის მიერ აპს-შიდა ბრაუზერებში თვალთვალის შესახებ, რომ TikTok-ის განცხადება შესაძლოა სწორი იყოს. „მხოლოდ იმის გამო, რომ აპი გარე ვებსაიტებში JavaScript-ს შეჰყავს, სულაც არ ნიშნავს, რომ აპი აკეთებს რაიმე მავნე მოქმედებას. არ არსებობს იმის გაგება, თუ რა მონაცემებს აგროვებს აპს-შიდა ბრაუზერი და ხდება თუ არა ეს მონაცემები გადამისამართებული ან გამოყენებული“.
ამიტომ არ არის მოცემული, რომ TikTok ნამდვილად აფიქსირებს მომხმარებლების კლავიატურის შეყვანას, რომ აღარაფერი ვთქვათ აგზავნის მას საკუთარ სერვერებზე ან სხვაგვარად ინახავს მას. თუმცა, თითქმის დარწმუნებულია, რომ ეს შესაძლებელი იქნება. ამ მიზეზით, კრაუზეს თქმით, გონივრული იქნება ბრაუზერის ბმულების კოპირება TikTok-ის, მაგრამ ასევე Facebook-ისა და Instagram-ის მეშვეობით და პირდაპირ სანდო ბრაუზერში ჩასმა. ამ გზით, შესაბამის აპლიკაციებს არ შეუძლიათ კოდის შეყვანა სენსიტიური მონაცემების ამ გზით დასარეგისტრირებლად.