Dema ku bikarhêner di sepana TikTok de rûpelek gerokê vedike, TikTok kodê dixe nav rûpelên malperê yên sêyemîn. Ev kod dikare wekî keylogger, di nav tiştên din de xizmet bike. Li gorî medyaya civakî, koda navborî tenê ji bo mebestên pêşkeftinê tê bikar anîn.
Pêşdebir û lêkolînerê ewlehiyê Felix Krause dît ku gava bikarhênerek di guhertoya iOS-ê ya TikTok de zencîreyekê vedike, gerokek nav-app vedibe ku navgîna civakî dikare koda JavaScript-ê derxîne. Ev ê dihêle ku daneyên ku bi klavyeyê re têkevin, tevî şîfre, agahdariya dravdanê û daneyên din, bêne tomar kirin. Wî lêkolîn nekir ka ev ji bo guhertoya serîlêdanê ya Android-ê jî wisa ye.
TikTok ji Forbesê re piştrast dike ku koda JavaScript bi rastî heye, lê ku peyamên li ser keyloggerek îdiakirî xapînok in. Parçeya kodê ya nakokî tê gotin ku beşek nekarkirî ya SDK-ya sêyemîn e. "Wekî platformên din, em jî gerokek nav-app bikar tînin da ku ezmûnek bikarhênerek çêtirîn peyda bikin. Koda JavaScriptê ya têkildar ji bo verastkirin, çareserkirin û şopandina performansa serîlêdanê tê bikar anîn, mînakî ji bo kontrolkirina leza barkirina rûpelek û heke rûpel têk bibe."
Bi vî rengî, beşa keylogger a kodê ji SDK-ya partiya sêyemîn nayê bikar anîn. Ne diyar e ka ev partiya sêyemîn kî ye û gelo ew ê bi rastî ji bo mebestên pêşkeftinê hewceyê keylogger bin. TikTok wekî din pêşnîyar dike ku hin daneyên qeydkirî tenê li ser cîhazê bi herêmî têne hilberandin û ji serverên navgîniya civakî re nayê şandin.
Lêkolîner di vedîtinên xwe de, ku bi vedîtina berê ya şopandina Instagram û Facebook-ê di gerokên nav-appê de ne, dibêje ku gotina TikTok dibe ku rast be. "Tenê ji ber ku sepanek JavaScript-ê di nav malperên derveyî de derdixe, nayê vê wateyê ku sepan tiştek xirab dike. Nabe ku meriv bi rastî bizanibe ku gerokek nav-appê çi daneyan berhev dike û gelo ev dane têne şandin an têne bikar anîn."
Ji ber vê yekê ne diyar e ku TikTok bi rastî têketina klavyeyê ya bikarhêneran tomar dike, bihêle ku wê ji serverên xwe re bişîne an wekî din wê hilîne. Lêbelê, hema hema piştrast e ku ev ê gengaz be. Ji ber vê yekê, li gorî Krause, aqilmend e ku meriv lînkên gerokê bi riya TikTok, lê di heman demê de bi Facebook û Instagram-ê jî kopî bike, û wan rasterast li gerokek pêbawer bişopîne. Bi vî rengî, serîlêdanên têkildar nikarin kodê derxînin da ku daneyên hesas bi vî rengî tomar bikin.