जब प्रयोगकर्ताले TikTok एपमा ब्राउजर पृष्ठ खोल्छन् TikTok ले तेस्रो-पक्ष वेब पृष्ठहरूमा कोड इन्जेक्ट गर्दछ। यो कोडले अन्य चीजहरूको बीचमा keylogger को रूपमा सेवा गर्न सक्छ। सामाजिक सञ्जालका अनुसार प्रश्नमा रहेको कोड विकासका लागि मात्र प्रयोग गरिन्छ।
विकासकर्ता र सुरक्षा अनुसन्धानकर्ता फेलिक्स क्राउजले पत्ता लगाए कि जब प्रयोगकर्ताले TikTok को iOS संस्करणमा लिङ्क खोल्छ, एउटा इन-एप ब्राउजर खुल्छ जहाँ सामाजिक माध्यमले JavaScript कोड इन्जेक्ट गर्न सक्छ। यसले पासवर्ड, भुक्तान जानकारी र अन्य डेटा सहित किबोर्डमा प्रविष्ट गरिएको डाटालाई रेकर्ड गर्न अनुमति दिनेछ। यो एपको एन्ड्रोइड संस्करणको लागि पनि हो कि होइन भनेर उनले अनुसन्धान गरेनन्।
TikTok ले फोर्ब्सलाई जाभास्क्रिप्ट कोड साँच्चै अवस्थित छ भनेर पुष्टि गर्दछ, तर कथित कीलगरको बारेमा सन्देशहरू भ्रामक छन्। कोडको विवादास्पद टुक्रा तेस्रो-पक्ष SDK को प्रयोग नगरिएको भाग भनिन्छ। "अन्य प्लेटफर्महरू जस्तै, हामी पनि एक इष्टतम प्रयोगकर्ता अनुभव प्रदान गर्न एक इन-एप ब्राउजर प्रयोग गर्दछौं। प्रासंगिक JavaScript कोड डिबगिङ, समस्या निवारण र अनुप्रयोगको कार्यसम्पादन निगरानीको लागि प्रयोग गरिन्छ, उदाहरणका लागि पृष्ठको लोडिङ गति जाँच गर्न र पृष्ठ क्र्यास भएमा।
यसरी, तेस्रो पक्ष SDK बाट कोडको keylogger भाग प्रयोग गरिने छैन। यो स्पष्ट छैन कि यो तेस्रो पक्ष को हो र तिनीहरूले वास्तवमा विकास उद्देश्यका लागि एक keylogger आवश्यक छ कि छैन। TikTok ले थप सुझाव दिन्छ कि केहि दर्ता गरिएको डाटा केवल उपकरणमा स्थानीय रूपमा प्रशोधन गरिन्छ र सामाजिक माध्यमको सर्भरहरूमा फर्वार्ड गरिएको छैन।
अन्वेषकले आफ्नो निष्कर्षमा भनेका छन्, जुन इन-एप ब्राउजरहरूमा इन्स्टाग्राम र फेसबुकले ट्र्याक गर्ने पहिलेको खोजसँग मिल्दोजुल्दो छ, टिकटकको कथन सम्भवतः सही हुन सक्छ। “एपले बाहिरी वेबसाइटहरूमा जाभास्क्रिप्ट इन्जेक्ट गरेकोले एपले केही खराब काम गरिरहेको छ भन्ने होइन। इन-एप ब्राउजरले कुन डाटा सङ्कलन गर्छ र यो डाटा फर्वार्ड वा प्रयोग भइरहेको छ कि छैन भनी थाहा पाउने कुनै तरिका छैन।"
त्यसैले टिकटोकले प्रयोगकर्ताहरूको किबोर्ड इनपुटलाई साँच्चै रेकर्ड गर्छ, यसलाई आफ्नै सर्भरमा पठाउने वा अन्यथा भण्डारण गर्ने कुरा दिइँदैन। तर, यो सम्भव हुने लगभग निश्चित छ। त्यस कारणका लागि, क्राउजका अनुसार, टिकटक मार्फत, तर फेसबुक र इन्स्टाग्राम मार्फत पनि ब्राउजर लिङ्कहरू प्रतिलिपि गर्नु बुद्धिमानी हुन्छ, र तिनीहरूलाई सीधा विश्वसनीय ब्राउजरमा टाँस्नुहोस्। यस तरिकाले, सम्बन्धित अनुप्रयोगहरूले यस तरिकाले संवेदनशील डेटा दर्ता गर्न कोड इन्जेक्ट गर्न सक्दैन।