TikTok инјектира код во веб-страници од трети страни кога корисникот отвора страница на прелистувач во апликацијата TikTok. Овој код, меѓу другото, може да послужи како тајлогер. Според социјалниот медиум, предметниот код се користи само за развојни цели.
Развивачот и безбедносен истражувач Феликс Краузе откри дека кога корисникот отвора врска во iOS верзијата на TikTok, се отвора прелистувач во апликација каде што социјалниот медиум може да инјектира JavaScript код. Ова ќе овозможи да се снимаат податоците внесени со тастатурата, вклучувајќи лозинки, информации за плаќање и други податоци. Тој не истражи дали тоа е случај и за Android верзијата на апликацијата.
TikTok му потврдува на Форбс дека кодот JavaScript навистина е присутен, но дека пораките за наводен тајлогер се погрешни. Се вели дека контроверзниот дел од кодот е неискористен дел од SDK од трета страна. „Како и другите платформи, ние исто така користиме прелистувач во апликација за да обезбедиме оптимално корисничко искуство. Релевантниот JavaScript код се користи за дебагирање, смена на проблеми и следење на перформансите на апликацијата, на пример за проверка на брзината на вчитување на страницата и ако страницата паѓа.
Така, делот на тајлогерот од кодот од SDK од трета страна нема да се користи. Не е јасно која е оваа трета страна и дали навистина ќе им треба keylogger за развојни цели. TikTok понатаму сугерира дека одредени регистрирани податоци се обработуваат само локално на уредот и не се проследуваат до серверите на социјалниот медиум.
Истражувачот вели во своите наоди, кои се во согласност со претходното откритие за следење од страна на Инстаграм и Фејсбук во прелистувачите во апликациите, дека изјавата на TikTok можеби е точна. „Само затоа што апликацијата вбризгува JavaScript на надворешни веб-локации не мора да значи дека апликацијата прави нешто злонамерно. Не постои начин да се знае точно кои податоци ги собира прелистувачот во апликација и дали овие податоци се препраќаат или користат“.
Затоа, не е предвидено дека TikTok навистина го снима внесувањето на тастатурата на корисниците, а камоли да го испраќа на сопствените сервери или на друг начин да го складира. Сепак, речиси е сигурно дека тоа би било можно. Поради таа причина, според Краузе, паметно е да се копираат линковите на прелистувачите преку TikTok, но и преку Facebook и Instagram и директно да се залепат во доверлив прелистувач. На овој начин, соодветните апликации не можат да внесат код за да регистрираат чувствителни податоци на овој начин.