TikTok jinjetta kodiċi f'paġni web ta' partijiet terzi meta utent jiftaħ paġna tal-browser fl-app TikTok. Dan il-kodiċi jista 'jservi bħala keylogger, fost affarijiet oħra. Skont il-mezz soċjali, il-kodiċi inkwistjoni jintuża biss għal skopijiet ta' żvilupp.
L-iżviluppatur u riċerkatur tas-sigurtà Felix Krause sab li meta utent jiftaħ link fil-verżjoni iOS ta 'TikTok, jinfetaħ browser in-app fejn il-mezz soċjali jista' jinjetta kodiċi JavaScript. Dan jippermetti li tiġi rreġistrata d-dejta mdaħħla bit-tastiera, inklużi l-passwords, l-informazzjoni dwar il-ħlas u dejta oħra. Huwa ma investigax jekk dan hux il-każ ukoll għall-verżjoni Android tal-applikazzjoni.
TikTok jikkonferma lil Forbes li l-kodiċi JavaScript huwa tabilħaqq preżenti, iżda li l-messaġġi dwar allegat keylogger huma qarrieqa. Jingħad li l-biċċa kodiċi kontroversjali hija parti mhux użata ta 'SDK ta' parti terza. “Bħal pjattaformi oħra, nużaw ukoll browser in-app biex nipprovdu l-aħjar esperjenza tal-utent. Il-kodiċi JavaScript rilevanti jintuża għad-debugging, is-soluzzjoni tal-problemi u l-monitoraġġ tal-prestazzjoni tal-applikazzjoni, pereżempju biex tiċċekkja l-veloċità tat-tagħbija ta 'paġna u jekk il-paġna tiġġarraf."
Għalhekk, il-porzjon keylogger tal-kodiċi mill-SDK ta 'parti terza ma jintużax. Mhux ċar min hi din il-parti terza u jekk fil-fatt għandhomx bżonn keylogger għal skopijiet ta' żvilupp. TikTok tissuġġerixxi wkoll li ċerta data reġistrata tiġi pproċessata biss lokalment fuq l-apparat u ma tiġix mibgħuta lil servers tal-mezz soċjali.
Ir-riċerkatur jgħid fis-sejbiet tiegħu, li huma konformi mal-iskoperta preċedenti ta 'traċċar minn Instagram u Facebook fil-browsers fl-app, li d-dikjarazzjoni ta' TikTok tista 'tkun korretta. “Sempliċement għax app tinjetta JavaScript f’websajts esterni mhux bilfors ifisser li l-app qed tagħmel xi ħaġa malizzjuża. M'hemm l-ebda mod kif tkun taf eżattament liema data jiġbor browser fl-app u jekk din id-data hijiex mibgħuta jew użata.”
Għalhekk mhuwiex evidenti li TikTok tabilħaqq jirreġistra l-input tat-tastiera tal-utenti, aħseb u ara jibgħatu lis-servers tiegħu stess jew inkella jaħżen. Madankollu, huwa kważi ċert li dan ikun possibbli. Għal dik ir-raġuni, skont Krause, huwa għaqli li tikkopja links tal-brawżer permezz ta’ TikTok, iżda wkoll permezz ta’ Facebook u Instagram, u twaħħalhom direttament f’browser ta’ fiduċja. B'dan il-mod, l-applikazzjonijiet rilevanti ma jistgħux jinjettaw kodiċi biex jirreġistraw data sensittiva b'dan il-mod.