O TikTok injeta código em páginas da Web de terceiros quando um usuário abre uma página do navegador no aplicativo TikTok. Este código pode servir como um keylogger, entre outras coisas. De acordo com o meio social, o código em questão é usado apenas para fins de desenvolvimento.
O desenvolvedor e pesquisador de segurança Felix Krause descobriu que quando um usuário abre um link na versão iOS do TikTok, um navegador no aplicativo é aberto onde a mídia social pode injetar código JavaScript. Isso permitiria que os dados inseridos com o teclado, incluindo senhas, informações de pagamento e outros dados, fossem registrados. Ele não investigou se esse também é o caso da versão Android do aplicativo.
O TikTok confirma à Forbes que o código JavaScript está realmente presente, mas que as mensagens sobre um suposto keylogger são enganosas. Diz-se que o controverso pedaço de código é uma parte não utilizada de um SDK de terceiros. “Como outras plataformas, também usamos um navegador no aplicativo para fornecer uma experiência de usuário ideal. O código JavaScript relevante é usado para depuração, solução de problemas e monitoramento do desempenho do aplicativo, por exemplo, para verificar a velocidade de carregamento de uma página e se a página trava.”
Assim, a parte do keylogger do código do SDK de terceiros não seria usada. Não está claro quem é esse terceiro e se eles realmente precisariam de um keylogger para fins de desenvolvimento. O TikTok sugere ainda que determinados dados registrados sejam processados apenas localmente no dispositivo e não sejam encaminhados aos servidores da mídia social.
O pesquisador diz em suas descobertas, que estão alinhadas com a descoberta anterior de rastreamento pelo Instagram e Facebook em navegadores no aplicativo, que a afirmação do TikTok pode estar correta. “Só porque um aplicativo injeta JavaScript em sites externos não significa necessariamente que o aplicativo está fazendo algo malicioso. Não há como saber exatamente quais dados um navegador no aplicativo coleta e se esses dados estão sendo encaminhados ou usados.”
Portanto, não é certo que o TikTok realmente registre a entrada do teclado dos usuários, muito menos a envie para seus próprios servidores ou a armazene. No entanto, é quase certo que isso seria possível. Por esse motivo, de acordo com Krause, é aconselhável copiar os links do navegador via TikTok, mas também via Facebook e Instagram, e colá-los diretamente em um navegador confiável. Dessa forma, os aplicativos relevantes não podem injetar código para registrar dados confidenciais dessa maneira.