TikTok injectează cod în paginile web ale unor terțe părți atunci când un utilizator deschide o pagină de browser în aplicația TikTok. Acest cod ar putea servi ca un keylogger, printre altele. Potrivit mediului social, codul în cauză este folosit doar în scopuri de dezvoltare.
Dezvoltatorul și cercetătorul de securitate Felix Krause a descoperit că atunci când un utilizator deschide un link în versiunea iOS a TikTok, se deschide un browser în aplicație în care mediul social poate injecta cod JavaScript. Acest lucru ar permite ca datele introduse cu tastatura, inclusiv parolele, informațiile de plată și alte date, să fie înregistrate. El nu a investigat dacă acesta este cazul și pentru versiunea Android a aplicației.
TikTok confirmă Forbes că codul JavaScript este într-adevăr prezent, dar că mesajele despre un presupus keylogger sunt înșelătoare. Se spune că fragmentul de cod controversat este o parte neutilizată a unui SDK terță parte. „Ca și alte platforme, folosim și un browser în aplicație pentru a oferi o experiență optimă pentru utilizator. Codul JavaScript relevant este folosit pentru depanare, depanare și monitorizare a performanței aplicației, de exemplu pentru a verifica viteza de încărcare a unei pagini și dacă pagina se blochează.”
Astfel, porțiunea keylogger a codului de la SDK-ul terță parte nu ar fi utilizată. Nu este clar cine este această terță parte și dacă ar avea de fapt nevoie de un keylogger pentru dezvoltare. TikTok sugerează, de asemenea, că anumite date înregistrate sunt procesate doar local pe dispozitiv și nu sunt redirecționate către serverele mediului social.
Cercetătorul spune în descoperirile sale, care sunt în concordanță cu descoperirea anterioară a urmăririi de către Instagram și Facebook în browserele din aplicații, că declarația lui TikTok ar putea fi corectă. „Doar pentru că o aplicație injectează JavaScript în site-uri web externe nu înseamnă neapărat că aplicația face ceva rău intenționat. Nu există nicio modalitate de a ști exact ce date colectează un browser în aplicație și dacă aceste date sunt transmise sau utilizate.”
Prin urmare, nu este de la sine înțeles faptul că TikTok înregistrează într-adevăr introducerea de la tastatură a utilizatorilor, cu atât mai puțin o trimite pe propriile servere sau o stochează în alt mod. Cu toate acestea, este aproape sigur că acest lucru ar fi posibil. Din acest motiv, potrivit lui Krause, este înțelept să copiați link-urile browserului prin TikTok, dar și prin Facebook și Instagram și să le lipiți direct într-un browser de încredere. În acest fel, aplicațiile relevante nu pot injecta cod pentru a înregistra date sensibile în acest fel.