Пайдаланушы TikTok қолданбасында браузер бетін ашқан кезде TikTok үшінші тарап веб-беттеріне кодты енгізеді. Бұл код басқа нәрселермен қатар, кейлоггер ретінде қызмет ете алады. Әлеуметтік желіге сәйкес, қарастырылып отырған код тек әзірлеу мақсатында қолданылады.
Әзірлеуші және қауіпсіздік зерттеушісі Феликс Краузе пайдаланушы TikTok қолданбасының iOS нұсқасында сілтемені ашқанда, әлеуметтік орта JavaScript кодын енгізе алатын қолданба ішіндегі шолғыш ашылатынын анықтады. Бұл пернетақта арқылы енгізілген деректерді, соның ішінде құпия сөздерді, төлем ақпаратын және басқа деректерді жазуға мүмкіндік береді. Ол бұл қолданбаның Android нұсқасына да қатысты екенін зерттеген жоқ.
TikTok Forbes-ке JavaScript коды шынымен бар екенін, бірақ болжамды кейлоггер туралы хабарламалар жаңылысатынын растайды. Даулы код бөлігі үшінші тарап SDK қолданбасының пайдаланылмаған бөлігі болып табылады. «Басқа платформалар сияқты, біз де оңтайлы пайдаланушы тәжірибесін қамтамасыз ету үшін қолданба ішіндегі шолғышты пайдаланамыз. Тиісті JavaScript коды қолданбаның жұмысын түзету, ақаулықтарды жою және бақылау үшін пайдаланылады, мысалы, беттің жүктелу жылдамдығын және егер бет бұзылса, тексеру үшін.»
Осылайша, үшінші тарап SDK кодының keylogger бөлігі пайдаланылмайды. Бұл үшінші тарап кім екені және оларға әзірлеу мақсатында шын мәнінде кейлоггер қажет пе, жоқ па, белгісіз. TikTok бұдан әрі белгілі бір тіркелген деректер құрылғыда тек жергілікті түрде өңделеді және әлеуметтік орта серверлеріне жіберілмейді деп болжайды.
Зерттеуші Instagram және Facebook-тің қолданба ішіндегі шолғыштардағы бақылаудың бұрынғы ашылуына сәйкес келетін өз тұжырымдарында TikTok мәлімдемесі дұрыс болуы мүмкін екенін айтады. «Қолданбаның JavaScript-ті сыртқы веб-сайттарға енгізетіндігі қолданбаның зиянды нәрсе істеп жатқанын білдірмейді. Қолданба ішіндегі шолғыш қандай деректерді жинайтынын және бұл деректер жіберіліп жатқанын немесе пайдаланылып жатқанын білудің ешқандай жолы жоқ.”
Сондықтан TikTok пайдаланушылардың пернетақтадан енгізуін шынымен жазады, тіпті оны өз серверлеріне жібереді немесе басқаша сақтайды деп айтуға болмайды. Дегенмен, бұл мүмкін болатыны анық. Осы себепті, Краузенің пікірінше, браузер сілтемелерін TikTok арқылы, сонымен қатар Facebook және Instagram арқылы көшіріп, оларды тікелей сенімді браузерге қою дана. Осылайша, сәйкес қолданбалар құпия деректерді осылайша тіркеу үшін кодты енгізе алмайды.