TikTok внедряет код на сторонние веб-страницы, когда пользователь открывает страницу браузера в приложении TikTok. Этот код, среди прочего, может служить кейлоггером. Согласно социальной среде, рассматриваемый код используется только в целях разработки.
Разработчик и исследователь безопасности Феликс Краузе обнаружил, что когда пользователь открывает ссылку в версии TikTok для iOS, открывается встроенный в приложение браузер, в который социальная среда может вводить код JavaScript. Это позволит записывать данные, вводимые с клавиатуры, включая пароли, платежную информацию и другие данные. Он не исследовал, относится ли это также к версии приложения для Android.
TikTok подтверждает Forbes, что код JavaScript действительно присутствует, но сообщения о предполагаемом кейлоггере вводят в заблуждение. Спорный фрагмент кода считается неиспользуемой частью стороннего SDK. «Как и другие платформы, мы также используем встроенный браузер для обеспечения оптимального взаимодействия с пользователем. Соответствующий код JavaScript используется для отладки, устранения неполадок и мониторинга производительности приложения, например, для проверки скорости загрузки страницы и сбоя страницы».
Таким образом, часть кода кейлоггера из стороннего SDK не будет использоваться. Неясно, кто эта третья сторона и действительно ли им нужен кейлоггер для целей разработки. TikTok также предполагает, что определенные зарегистрированные данные обрабатываются только локально на устройстве и не пересылаются на серверы социальной среды.
Исследователь говорит в своих выводах, которые согласуются с более ранним обнаружением отслеживания Instagram и Facebook в браузерах приложений, что заявление TikTok, возможно, верно. «Тот факт, что приложение внедряет JavaScript на внешние веб-сайты, не обязательно означает, что оно делает что-то злонамеренное. Невозможно точно узнать, какие данные собирает браузер в приложении и пересылаются ли эти данные или используются».
Поэтому не факт, что TikTok действительно записывает ввод пользователей с клавиатуры, не говоря уже о том, чтобы отправлять их на свои собственные серверы или хранить их иным образом. Однако почти наверняка это возможно. По этой причине, по словам Краузе, разумно копировать ссылки браузера через TikTok, а также через Facebook и Instagram и вставлять их непосредственно в доверенный браузер. Таким образом, соответствующие приложения не могут вводить код для регистрации конфиденциальных данных таким образом.