TikTok нь хэрэглэгч TikTok програм дээр хөтчийн хуудсыг нээх үед гуравдагч этгээдийн вэб хуудсанд код оруулдаг. Энэ код нь бусад зүйлсийн дунд keylogger болж чаддаг. Олон нийтийн мэдээллийн хэрэгслээр бол тухайн кодыг зөвхөн хөгжүүлэх зорилгоор ашигладаг.
Хөгжүүлэгч, аюулгүй байдлын судлаач Феликс Краузе хэрэглэгч TikTok-ийн iOS хувилбарт холбоосыг нээх үед нийгмийн сүлжээнд JavaScript код оруулах боломжтой програмын хөтөч нээгддэг болохыг олж мэдэв. Энэ нь нууц үг, төлбөрийн мэдээлэл болон бусад өгөгдөл зэрэг гар ашиглан оруулсан өгөгдлийг бүртгэх боломжийг олгоно. Энэ нь програмын Android хувилбарт мөн адил байгаа эсэхийг тэрээр судлаагүй.
ТикТок Форбс сэтгүүлд JavaScript код үнэхээр байгаа хэдий ч keylogger гэж сэжиглэгдсэн мессежүүд нь төөрөгдүүлсэн болохыг баталж байна. Маргаантай кодын хэсэг нь гуравдагч талын SDK-ийн ашиглагдаагүй хэсэг юм. “Бусад платформуудын нэгэн адил бид хэрэглэгчийн туршлагыг оновчтой болгохын тулд програмын хөтөч ашигладаг. Холбогдох JavaScript кодыг дибаг хийх, алдааг олж засварлах, програмын гүйцэтгэлийг хянах, тухайлбал хуудсыг ачаалах хурд, хуудас эвдэрсэн эсэхийг шалгахад ашигладаг."
Тиймээс гуравдагч талын SDK-ийн кодын keylogger хэсгийг ашиглахгүй. Энэ гуравдагч этгээд гэж хэн болох, хөгжлийн зорилгоор keylogger хэрэгтэй эсэх нь тодорхойгүй байна. TikTok цааш нь зарим бүртгэгдсэн өгөгдлийг зөвхөн төхөөрөмж дээр дотооддоо боловсруулдаг бөгөөд нийгмийн сүлжээний серверүүд рүү дамжуулахгүй байхыг санал болгож байна.
Судлаач өөрийн судалгааны үр дүнд, Instagram болон Facebook-ийн аппликейшн доторх хөтчүүд дээр мөрдөж байсныг илрүүлсэнтэй нийцэж байгаа бөгөөд TikTok-ийн мэдэгдэл зөв байж магадгүй гэж мэдэгджээ. “Аппликейшн JavaScript-г гадаад вэб сайт руу оруулдаг нь тухайн програм нь хортой зүйл хийж байна гэсэн үг биш юм. Апп-доторх хөтөч яг ямар өгөгдөл цуглуулдаг, энэ өгөгдлийг дамжуулж эсвэл ашиглаж байгаа эсэхийг мэдэх арга байхгүй."
Тиймээс TikTok нь хэрэглэгчдийн гарнаас оруулсан мэдээллийг бүртгэх нь бүү хэл өөрийн сервер рүү илгээх эсвэл өөр хэлбэрээр хадгалах нь тодорхой биш юм. Гэсэн хэдий ч энэ нь боломжтой байх нь бараг тодорхой юм. Ийм учраас Краузегийн хэлснээр хөтчийн холбоосыг TikTok-ээр биш Facebook, Instagram-аар хуулж, найдвартай хөтөч рүү шууд буулгах нь ухаалаг хэрэг юм. Ийм байдлаар холбогдох програмууд нууц мэдээллийг бүртгэх код оруулах боломжгүй.