TikTok ແຊກລະຫັດໃສ່ໜ້າເວັບຂອງພາກສ່ວນທີສາມ ເມື່ອຜູ້ໃຊ້ເປີດໜ້າບຣາວເຊີໃນແອັບ TikTok. ລະຫັດນີ້ສາມາດເຮັດຫນ້າທີ່ເປັນ keylogger, ໃນບັນດາສິ່ງອື່ນໆ. ອີງຕາມສື່ສັງຄົມ, ລະຫັດໃນຄໍາຖາມແມ່ນໃຊ້ເພື່ອຈຸດປະສົງການພັດທະນາເທົ່ານັ້ນ.
ຜູ້ພັດທະນາແລະນັກຄົ້ນຄວ້າຄວາມປອດໄພ Felix Krause ພົບວ່າເມື່ອຜູ້ໃຊ້ເປີດການເຊື່ອມຕໍ່ໃນ TikTok ຮຸ່ນ iOS, ຕົວທ່ອງເວັບໃນແອັບຯຈະເປີດບ່ອນທີ່ສື່ສັງຄົມສາມາດໃສ່ລະຫັດ JavaScript. ນີ້ຈະອະນຸຍາດໃຫ້ບັນທຶກຂໍ້ມູນໃສ່ກັບແປ້ນພິມ, ລວມທັງລະຫັດຜ່ານ, ຂໍ້ມູນການຈ່າຍເງິນ ແລະຂໍ້ມູນອື່ນໆ. ລາວບໍ່ໄດ້ສືບສວນວ່ານີ້ແມ່ນກໍລະນີຂອງແອັບພລິເຄຊັນ Android ຫຼືບໍ່.
TikTok ຢືນຢັນກັບ Forbes ວ່າລະຫັດ JavaScript ແມ່ນມີຢູ່ແທ້ໆ, ແຕ່ວ່າຂໍ້ຄວາມກ່ຽວກັບ keylogger ທີ່ຖືກກ່າວຫາແມ່ນເຂົ້າໃຈຜິດ. ຊິ້ນສ່ວນຂອງລະຫັດທີ່ຂັດແຍ້ງໄດ້ຖືກກ່າວວ່າເປັນສ່ວນທີ່ບໍ່ໄດ້ໃຊ້ຂອງ SDK ພາກສ່ວນທີສາມ. "ເຊັ່ນດຽວກັນກັບແພລະຕະຟອມອື່ນໆ, ພວກເຮົາຍັງໃຊ້ຕົວທ່ອງເວັບໃນແອັບຯເພື່ອໃຫ້ປະສົບການຜູ້ໃຊ້ທີ່ດີທີ່ສຸດ. ລະຫັດ JavaScript ທີ່ກ່ຽວຂ້ອງຖືກນໍາໃຊ້ສໍາລັບການດີບັກ, ແກ້ໄຂບັນຫາແລະການຕິດຕາມການປະຕິບັດຂອງແອັບພລິເຄຊັນ, ຕົວຢ່າງເພື່ອກວດເບິ່ງຄວາມໄວໃນການໂຫລດຫນ້າແລະຖ້າຫນ້າຂັດຂ້ອງ.
ດັ່ງນັ້ນ, ສ່ວນ keylogger ຂອງລະຫັດຈາກ SDK ພາກສ່ວນທີສາມຈະບໍ່ຖືກນໍາໃຊ້. ມັນບໍ່ຊັດເຈນວ່າບຸກຄົນທີສາມນີ້ແມ່ນໃຜແລະວ່າພວກເຂົາຕ້ອງການ keylogger ແທ້ໆເພື່ອຈຸດປະສົງການພັດທະນາ. TikTok ແນະນໍາຕື່ມອີກວ່າຂໍ້ມູນການລົງທະບຽນທີ່ແນ່ນອນພຽງແຕ່ຖືກປຸງແຕ່ງຢູ່ໃນອຸປະກອນເທົ່ານັ້ນແລະບໍ່ໄດ້ສົ່ງຕໍ່ໄປຫາເຄື່ອງແມ່ຂ່າຍຂອງສື່ສັງຄົມ.
ນັກຄົ້ນຄວ້າກ່າວວ່າໃນການຄົ້ນພົບຂອງລາວ, ເຊິ່ງສອດຄ່ອງກັບການຄົ້ນພົບທີ່ຜ່ານມາຂອງການຕິດຕາມໂດຍ Instagram ແລະ Facebook ໃນຕົວທ່ອງເວັບໃນແອັບຯ, ວ່າຄໍາເວົ້າຂອງ TikTok ອາດຈະຖືກຕ້ອງ. "ພຽງແຕ່ເນື່ອງຈາກວ່າແອັບຯ injects JavaScript ເຂົ້າໄປໃນເວັບໄຊທ໌ພາຍນອກບໍ່ໄດ້ຫມາຍຄວາມວ່າແອັບຯກໍາລັງເຮັດບາງສິ່ງບາງຢ່າງທີ່ເປັນອັນຕະລາຍ. ບໍ່ມີທາງທີ່ຈະຮູ້ໄດ້ຢ່າງແນ່ນອນວ່າຂໍ້ມູນໃດນຶ່ງທີ່ບຣາວເຊີໃນແອັບເກັບເອົາ ແລະວ່າຂໍ້ມູນນີ້ຈະຖືກສົ່ງຕໍ່ ຫຼືຖືກໃຊ້ຫຼືບໍ່."
ດັ່ງນັ້ນມັນບໍ່ແມ່ນສິ່ງທີ່ TikTok ບັນທຶກການປ້ອນແປ້ນພິມຂອງຜູ້ໃຊ້ຢ່າງແທ້ຈິງ, ປ່ອຍໃຫ້ສົ່ງມັນໄປຫາເຄື່ອງແມ່ຂ່າຍຂອງຕົນເອງຫຼືເກັບຮັກສາມັນໄວ້. ຢ່າງໃດກໍຕາມ, ມັນເກືອບແນ່ນອນວ່າມັນຈະເປັນໄປໄດ້. ສໍາລັບເຫດຜົນດັ່ງກ່າວ, ອີງຕາມການ Krause, ມັນເປັນການສະຫລາດທີ່ຈະຄັດລອກການເຊື່ອມຕໍ່ຂອງຕົວທ່ອງເວັບຜ່ານ TikTok, ແຕ່ຍັງຜ່ານ Facebook ແລະ Instagram, ແລະວາງມັນໂດຍກົງເຂົ້າໄປໃນຕົວທ່ອງເວັບທີ່ເຊື່ອຖືໄດ້. ດ້ວຍວິທີນີ້, ແອັບພລິເຄຊັນທີ່ກ່ຽວຂ້ອງບໍ່ສາມາດໃສ່ລະຫັດເພື່ອລົງທະບຽນຂໍ້ມູນທີ່ລະອຽດອ່ອນດ້ວຍວິທີນີ້.