TikTok injiserer kode i tredjeparts nettsider når en bruker åpner en nettleserside i TikTok-appen. Denne koden kan blant annet fungere som en keylogger. Ifølge det sosiale mediet brukes den aktuelle koden kun til utviklingsformål.
Utvikler og sikkerhetsforsker Felix Krause fant at når en bruker åpner en lenke i iOS-versjonen av TikTok, åpnes en nettleser i appen der det sosiale mediet kan injisere JavaScript-kode. Dette vil tillate at data som legges inn med tastaturet, inkludert passord, betalingsinformasjon og andre data, kan registreres. Han undersøkte ikke om dette også er tilfellet for Android-versjonen av applikasjonen.
TikTok bekrefter overfor Forbes at JavaScript-koden faktisk er til stede, men at meldingene om en påstått keylogger er villedende. Den kontroversielle kodebiten sies å være en ubrukt del av en tredjeparts SDK. «Som andre plattformer, bruker vi også en nettleser i appen for å gi en optimal brukeropplevelse. Den relevante JavaScript-koden brukes til å feilsøke, feilsøke og overvåke ytelsen til applikasjonen, for eksempel for å sjekke lastehastigheten til en side og om siden krasjer.
Dermed vil ikke keylogger-delen av koden fra tredjeparts SDK bli brukt. Det er ikke klart hvem denne tredjeparten er og om de faktisk trenger en keylogger for utviklingsformål. TikTok foreslår videre at visse registrerte data kun behandles lokalt på enheten og ikke videresendes til servere til det sosiale mediet.
Forskeren sier i funnene sine, som er i tråd med den tidligere oppdagelsen av sporing av Instagram og Facebook i nettlesere i appen, at TikToks uttalelse muligens kan være riktig. "Bare fordi en app injiserer JavaScript på eksterne nettsteder, betyr det ikke nødvendigvis at appen gjør noe ondsinnet. Det er ingen måte å vite nøyaktig hvilke data en nettleser i appen samler inn og om disse dataene videresendes eller brukes."
Det er derfor ikke gitt at TikTok faktisk registrerer tastaturinngangen til brukere, enn si sender den til sine egne servere eller på annen måte lagrer den. Det er imidlertid nesten sikkert at dette vil være mulig. Av den grunn er det ifølge Krause lurt å kopiere nettleserlenker via TikTok, men også via Facebook og Instagram, og lime dem direkte inn i en pålitelig nettleser. På denne måten kan ikke de aktuelle applikasjonene injisere kode for å registrere sensitive data på denne måten.