TikTok vstavi kodo v spletne strani tretjih oseb, ko uporabnik odpre stran brskalnika v aplikaciji TikTok. Ta koda bi lahko med drugim služila kot keylogger. Glede na družbeni medij se zadevna koda uporablja samo za razvojne namene.
Razvijalec in varnostni raziskovalec Felix Krause je ugotovil, da ko uporabnik odpre povezavo v različici TikTok za iOS, se odpre brskalnik v aplikaciji, kjer lahko družbeni medij vstavi kodo JavaScript. To bi omogočilo snemanje podatkov, vnesenih s tipkovnico, vključno z gesli, podatki o plačilu in drugimi podatki. Ali to velja tudi za Android različico aplikacije, ni raziskal.
TikTok za Forbes potrjuje, da je koda JavaScript res prisotna, a da so sporočila o domnevnem zapisovalniku tipk zavajajoča. Kontroverzni del kode naj bi bil neuporabljen del SDK-ja tretje osebe. »Tako kot druge platforme uporabljamo tudi brskalnik v aplikaciji, da zagotovimo optimalno uporabniško izkušnjo. Ustrezna koda JavaScript se uporablja za odpravljanje napak, odpravljanje težav in spremljanje delovanja aplikacije, na primer za preverjanje hitrosti nalaganja strani in če se stran zruši.«
Tako se del kode keyloggerja iz SDK tretje osebe ne bi uporabil. Ni jasno, kdo je ta tretja oseba in ali bi dejansko potrebovali keylogger za namene razvoja. TikTok nadalje predlaga, da se določeni registrirani podatki obdelujejo samo lokalno v napravi in se ne posredujejo strežnikom družbenega medija.
Raziskovalec v svojih ugotovitvah, ki so v skladu s prejšnjim odkritjem sledenja s strani Instagrama in Facebooka v brskalnikih v aplikacijah, pravi, da bi lahko bila izjava TikTok pravilna. »Samo zato, ker aplikacija vstavi JavaScript v zunanja spletna mesta, še ne pomeni nujno, da počne nekaj zlonamernega. Ni načina, da bi natančno vedeli, katere podatke zbira brskalnik v aplikaciji in ali se ti podatki posredujejo ali uporabljajo.«
Zato ni samoumevno, da TikTok dejansko beleži vnos uporabnikov s tipkovnice, kaj šele, da bi ga pošiljal na lastne strežnike ali kako drugače hranil. Je pa skoraj gotovo, da bi bilo to mogoče. Zato je po mnenju Krauseja pametno kopirati povezave brskalnikov prek TikToka, pa tudi prek Facebooka in Instagrama, in jih prilepiti neposredno v zaupanja vreden brskalnik. Na ta način ustrezne aplikacije ne morejo vbrizgati kode za registracijo občutljivih podatkov na ta način.