TikTok menyuntik kod ke dalam halaman web pihak ketiga apabila pengguna membuka halaman penyemak imbas dalam apl TikTok. Kod ini boleh berfungsi sebagai keylogger, antara lain. Mengikut medium sosial, kod berkenaan hanya digunakan untuk tujuan pembangunan.
Pemaju dan penyelidik keselamatan Felix Krause mendapati bahawa apabila pengguna membuka pautan dalam versi iOS TikTok, penyemak imbas dalam apl dibuka di mana medium sosial boleh menyuntik kod JavaScript. Ini akan membolehkan data yang dimasukkan dengan papan kekunci, termasuk kata laluan, maklumat pembayaran dan data lain, direkodkan. Dia tidak menyiasat sama ada ini juga berlaku untuk versi Android aplikasi itu.
TikTok mengesahkan kepada Forbes bahawa kod JavaScript memang ada, tetapi mesej tentang keylogger yang didakwa mengelirukan. Sekeping kod yang kontroversi itu dikatakan sebagai bahagian SDK pihak ketiga yang tidak digunakan. “Seperti platform lain, kami juga menggunakan penyemak imbas dalam apl untuk memberikan pengalaman pengguna yang optimum. Kod JavaScript yang berkaitan digunakan untuk menyahpepijat, menyelesaikan masalah dan memantau prestasi aplikasi, contohnya untuk menyemak kelajuan pemuatan halaman dan jika halaman ranap."
Oleh itu, bahagian keylogger kod daripada SDK pihak ketiga tidak akan digunakan. Tidak jelas siapa pihak ketiga ini dan sama ada mereka benar-benar memerlukan keylogger untuk tujuan pembangunan. TikTok seterusnya mencadangkan bahawa data berdaftar tertentu hanya diproses secara tempatan pada peranti dan tidak dimajukan ke pelayan media sosial.
Penyelidik itu berkata dalam penemuannya, yang selaras dengan penemuan awal penjejakan oleh Instagram dan Facebook dalam pelayar dalam apl, bahawa kenyataan TikTok mungkin betul. “Hanya kerana apl menyuntik JavaScript ke dalam tapak web luaran tidak semestinya bermakna apl itu melakukan sesuatu yang berniat jahat. Tidak ada cara untuk mengetahui dengan tepat data yang dikumpul oleh penyemak imbas dalam apl dan sama ada data ini dimajukan atau digunakan."
Oleh itu, tidak semestinya TikTok memang merekodkan input papan kekunci pengguna, apatah lagi menghantarnya ke pelayannya sendiri atau menyimpannya. Walau bagaimanapun, hampir pasti bahawa ini mungkin berlaku. Atas sebab itu, menurut Krause, adalah bijak untuk menyalin pautan penyemak imbas melalui TikTok, tetapi juga melalui Facebook dan Instagram, dan menampalnya terus ke pelayar yang dipercayai. Dengan cara ini, aplikasi yang berkaitan tidak boleh menyuntik kod untuk mendaftarkan data sensitif dengan cara ini.