TikTok vloží kód na webové stránky tretích strán, keď používateľ otvorí stránku prehliadača v aplikácii TikTok. Tento kód by mohol okrem iného slúžiť ako keylogger. Podľa sociálneho média sa predmetný kód používa iba na účely vývoja.
Vývojár a bezpečnostný výskumník Felix Krause zistil, že keď používateľ otvorí odkaz vo verzii TikTok pre iOS, otvorí sa prehliadač v aplikácii, do ktorého môže sociálne médium vložiť kód JavaScript. To by umožnilo zaznamenávať údaje zadané pomocou klávesnice vrátane hesiel, informácií o platbe a iných údajov. Či je to tak aj v prípade verzie aplikácie pre Android, neskúmal.
TikTok pre Forbes potvrdzuje, že kód JavaScript je skutočne prítomný, ale správy o údajnom keyloggeri sú zavádzajúce. Kontroverzný kúsok kódu je údajne nevyužitou súčasťou SDK tretej strany. „Rovnako ako iné platformy, aj my používame prehliadač v aplikácii, aby sme poskytli optimálnu používateľskú skúsenosť. Príslušný kód JavaScript sa používa na ladenie, odstraňovanie problémov a sledovanie výkonu aplikácie, napríklad na kontrolu rýchlosti načítania stránky a v prípade zlyhania stránky.“
Preto by sa nepoužila časť kódu na zaznamenávanie kľúčov zo súpravy SDK tretej strany. Nie je jasné, kto je táto tretia strana a či by skutočne potrebovala keylogger na vývojové účely. TikTok ďalej naznačuje, že určité registrované údaje sa spracúvajú iba lokálne na zariadení a neposielajú sa na servery sociálneho média.
Výskumník vo svojich zisteniach, ktoré sú v súlade so skorším objavom sledovania Instagramom a Facebookom v prehliadačoch v aplikáciách, tvrdí, že tvrdenie TikTok by mohlo byť správne. „To, že aplikácia vkladá JavaScript na externé webové stránky, nemusí nutne znamenať, že aplikácia robí niečo škodlivé. Neexistuje spôsob, ako presne vedieť, aké údaje prehliadač v aplikácii zhromažďuje a či sa tieto údaje posielajú ďalej alebo používajú.“
Nie je teda samozrejmé, že TikTok skutočne zaznamenáva vstupy používateľov z klávesnice, nieto ich odosiela na svoje vlastné servery alebo ich inak ukladá. Je však takmer isté, že by to bolo možné. Z tohto dôvodu je podľa Krauseho rozumné skopírovať odkazy prehliadača cez TikTok, ale aj cez Facebook a Instagram a vložiť ich priamo do dôveryhodného prehliadača. Týmto spôsobom príslušné aplikácie nemôžu vložiť kód na registráciu citlivých údajov týmto spôsobom.