जेव्हा वापरकर्ता TikTok अॅपमध्ये ब्राउझर पृष्ठ उघडतो तेव्हा TikTok तृतीय-पक्षाच्या वेब पृष्ठांमध्ये कोड इंजेक्ट करते. हा कोड इतर गोष्टींबरोबरच कीलॉगर म्हणून काम करू शकतो. सामाजिक माध्यमानुसार, प्रश्नातील कोड केवळ विकासासाठी वापरला जातो.
विकसक आणि सुरक्षा संशोधक Felix Krause यांना आढळले की जेव्हा वापरकर्ता TikTok च्या iOS आवृत्तीमध्ये लिंक उघडतो, तेव्हा एक इन-अॅप ब्राउझर उघडतो जिथे सामाजिक माध्यम JavaScript कोड इंजेक्ट करू शकते. हे कीबोर्डसह प्रविष्ट केलेला डेटा, पासवर्ड, पेमेंट माहिती आणि इतर डेटासह रेकॉर्ड करण्यास अनुमती देईल. अॅप्लिकेशनच्या अँड्रॉइड व्हर्जनसाठीही हेच आहे का याचा तपास त्यांनी केला नाही.
TikTok फोर्ब्सला पुष्टी करते की JavaScript कोड खरोखरच उपस्थित आहे, परंतु कथित कीलॉगरबद्दलचे संदेश दिशाभूल करणारे आहेत. कोडचा वादग्रस्त भाग तृतीय-पक्ष SDK चा न वापरलेला भाग असल्याचे म्हटले जाते. “इतर प्लॅटफॉर्म प्रमाणे, आम्ही देखील एक इष्टतम वापरकर्ता अनुभव प्रदान करण्यासाठी अॅप-मधील ब्राउझर वापरतो. संबंधित JavaScript कोडचा वापर डीबगिंग, समस्यानिवारण आणि अॅप्लिकेशनच्या कार्यप्रदर्शनाचे परीक्षण करण्यासाठी केला जातो, उदाहरणार्थ पृष्ठाचा लोडिंग वेग तपासण्यासाठी आणि पृष्ठ क्रॅश झाल्यास.
अशा प्रकारे, तृतीय पक्ष SDK कडील कोडचा कीलॉगर भाग वापरला जाणार नाही. हे तृतीय पक्ष कोण आहेत आणि त्यांना विकासाच्या उद्देशाने कीलॉगरची आवश्यकता असेल की नाही हे स्पष्ट नाही. TikTok पुढे सूचित करते की काही नोंदणीकृत डेटा केवळ डिव्हाइसवर स्थानिक पातळीवर प्रक्रिया केला जातो आणि सामाजिक माध्यमाच्या सर्व्हरवर फॉरवर्ड केला जात नाही.
संशोधक त्याच्या निष्कर्षांमध्ये म्हणतो, जे इंस्टाग्राम आणि Facebook द्वारे अॅप-मधील ब्राउझरमध्ये ट्रॅकिंगच्या आधीच्या शोधाशी सुसंगत आहेत, की TikTok चे विधान कदाचित बरोबर असू शकते. “एखादा अॅप बाह्य वेबसाइट्समध्ये JavaScript इंजेक्ट करतो याचा अर्थ अॅप काहीतरी दुर्भावनापूर्ण करत आहे असा होत नाही. अॅप-मधील ब्राउझर नेमका कोणता डेटा संकलित करतो आणि हा डेटा फॉरवर्ड किंवा वापरला जात आहे हे जाणून घेण्याचा कोणताही मार्ग नाही.”
त्यामुळे TikTok वापरकर्त्यांचे कीबोर्ड इनपुट खरोखरच रेकॉर्ड करते असे दिलेले नाही, ते त्याच्या स्वत:च्या सर्व्हरवर पाठवते किंवा अन्यथा स्टोअर करते. मात्र, हे शक्य होणार हे जवळपास निश्चित आहे. त्या कारणास्तव, क्रॉसच्या मते, ब्राउझर लिंक्स TikTok द्वारे कॉपी करणे शहाणपणाचे आहे, परंतु Facebook आणि Instagram द्वारे देखील, आणि ते थेट विश्वसनीय ब्राउझरमध्ये पेस्ट करणे. अशा प्रकारे, संबंधित अनुप्रयोग अशा प्रकारे संवेदनशील डेटाची नोंदणी करण्यासाठी कोड इंजेक्ट करू शकत नाहीत.