TikTok ievada kodu trešo pušu tīmekļa lapās, kad lietotājs TikTok lietotnē atver pārlūkprogrammas lapu. Šis kods cita starpā varētu kalpot kā taustiņu bloķētājs. Saskaņā ar sociālo mediju attiecīgais kods tiek izmantots tikai izstrādes nolūkos.
Izstrādātājs un drošības pētnieks Fēlikss Krauze atklāja, ka tad, kad lietotājs atver saiti TikTok iOS versijā, tiek atvērts lietotnes pārlūks, kurā sociālais medijs var ievadīt JavaScript kodu. Tas ļautu ierakstīt ar tastatūru ievadītos datus, tostarp paroles, maksājumu informāciju un citus datus. Viņš nepētīja, vai tas attiecas arī uz aplikācijas Android versiju.
TikTok apstiprina Forbes, ka JavaScript kods patiešām ir, bet ziņojumi par iespējamo taustiņu bloķētāju ir maldinoši. Tiek uzskatīts, ka strīdīgais koda fragments ir neizmantota trešās puses SDK daļa. “Tāpat kā citas platformas, mēs izmantojam arī lietotnē iebūvētu pārlūkprogrammu, lai nodrošinātu optimālu lietotāja pieredzi. Attiecīgais JavaScript kods tiek izmantots atkļūdošanai, problēmu novēršanai un lietojumprogrammas veiktspējas uzraudzībai, piemēram, lai pārbaudītu lapas ielādes ātrumu un to, vai lapa avarē.
Tādējādi trešās puses SDK koda Keylogger daļa netiks izmantota. Nav skaidrs, kas ir šī trešā puse un vai viņiem patiešām būtu nepieciešams taustiņu bloķētājs attīstības nolūkos. TikTok turklāt iesaka, ka noteikti reģistrētie dati tiek apstrādāti tikai lokāli ierīcē un netiek pārsūtīti uz sociālā medija serveriem.
Pētnieks savos atklājumos, kas atbilst iepriekšējiem atklājumiem par Instagram un Facebook izsekošanu lietotņu pārlūkprogrammās, norāda, ka TikTok apgalvojums, iespējams, varētu būt pareizs. “Tas, ka lietojumprogramma ārējās vietnēs ievada JavaScript, nenozīmē, ka lietotne dara kaut ko ļaunprātīgu. Nav iespējams precīzi zināt, kādus datus vāc lietotnes pārlūkprogramma un vai šie dati tiek pārsūtīti vai izmantoti.
Tāpēc nav skaidrs, ka TikTok patiešām reģistrē lietotāju tastatūras ievadi, nemaz nerunājot par to nosūtīšanu uz saviem serveriem vai kā citādi saglabāšanu. Tomēr ir gandrīz droši, ka tas būtu iespējams. Šī iemesla dēļ, pēc Krause teiktā, ir prātīgi kopēt pārlūkprogrammas saites, izmantojot TikTok, bet arī Facebook un Instagram, un ielīmēt tās tieši uzticamā pārlūkprogrammā. Tādā veidā attiecīgās lietojumprogrammas nevar ievadīt kodu, lai šādā veidā reģistrētu sensitīvus datus.