TikTok wstrzykuje kod do stron internetowych innych firm, gdy użytkownik otwiera stronę przeglądarki w aplikacji TikTok. Ten kod może służyć między innymi jako keylogger. Według mediów społecznościowych omawiany kod służy wyłącznie do celów programistycznych.
Programista i badacz bezpieczeństwa, Felix Krause, odkrył, że gdy użytkownik otwiera łącze w wersji TikTok na iOS, otwiera się przeglądarka w aplikacji, w której medium społecznościowe może wstrzyknąć kod JavaScript. Umożliwiłoby to rejestrowanie danych wprowadzanych za pomocą klawiatury, w tym haseł, informacji o płatnościach i innych danych. Nie badał, czy dotyczy to również wersji aplikacji na Androida.
TikTok potwierdza Forbesowi, że kod JavaScript rzeczywiście jest obecny, ale wiadomości o rzekomym keyloggerze są mylące. Mówi się, że kontrowersyjny fragment kodu jest nieużywaną częścią pakietu SDK innej firmy. „Podobnie jak inne platformy, używamy również przeglądarki w aplikacji, aby zapewnić optymalne wrażenia użytkownika. Odpowiedni kod JavaScript jest używany do debugowania, rozwiązywania problemów i monitorowania wydajności aplikacji, na przykład w celu sprawdzenia szybkości ładowania strony i awarii strony.”
W związku z tym część kodu dotycząca keyloggera z pakietu SDK innej firmy nie byłaby używana. Nie jest jasne, kim jest ta strona trzecia i czy rzeczywiście potrzebowaliby keyloggera do celów programistycznych. TikTok sugeruje ponadto, że niektóre zarejestrowane dane są przetwarzane tylko lokalnie na urządzeniu i nie są przekazywane do serwerów mediów społecznościowych.
Badacz twierdzi w swoich odkryciach, które są zgodne z wcześniejszym odkryciem śledzenia przez Instagram i Facebook w przeglądarkach w aplikacjach, że stwierdzenie TikTok może być poprawne. „Tylko dlatego, że aplikacja wstrzykuje JavaScript do zewnętrznych witryn internetowych, nie musi oznaczać, że robi coś złośliwego. Nie ma możliwości dokładnego poznania, jakie dane zbiera przeglądarka w aplikacji i czy są one przekazywane lub wykorzystywane”.
Dlatego nie jest oczywiste, że TikTok rzeczywiście rejestruje dane wprowadzane z klawiatury przez użytkowników, nie mówiąc już o wysyłaniu ich na własne serwery lub przechowywaniu w inny sposób. Jest jednak prawie pewne, że byłoby to możliwe. Z tego powodu, zdaniem Krausego, mądrze jest kopiować linki przeglądarki za pośrednictwem TikTok, ale także przez Facebook i Instagram, i wklejać je bezpośrednio do zaufanej przeglądarki. W ten sposób odpowiednie aplikacje nie mogą wstrzyknąć kodu, aby w ten sposób zarejestrować poufne dane.