ТикТок убацује код на веб странице трећих страна када корисник отвори страницу претраживача у апликацији ТикТок. Овај код би између осталог могао да послужи као кеилоггер. Према друштвеном медију, дотични код се користи само у развојне сврхе.
Програмер и истраживач безбедности Феликс Краусе открио је да када корисник отвори везу у иОС верзији ТикТок-а, отвара се претраживач у апликацији где друштвени медиј може да убаци ЈаваСцрипт код. Ово би омогућило снимање података унетих помоћу тастатуре, укључујући лозинке, информације о плаћању и друге податке. Није истраживао да ли је то случај и са Андроид верзијом апликације.
ТикТок потврђује Форбесу да је ЈаваСцрипт код заиста присутан, али да су поруке о наводном кеилоггеру обмањујуће. За контроверзни део кода се каже да је неискоришћен део СДК-а треће стране. „Као и друге платформе, ми такође користимо претраживач у апликацији да бисмо пружили оптимално корисничко искуство. Релевантни ЈаваСцрипт код се користи за отклањање грешака, решавање проблема и надгледање перформанси апликације, на пример за проверу брзине учитавања странице и ако се страница руши.“
Према томе, део кода за кеилоггер из СДК-а треће стране се не би користио. Није јасно ко је ова трећа страна и да ли би им заиста био потребан кеилоггер за развојне сврхе. ТикТок даље сугерише да се одређени регистровани подаци обрађују само локално на уређају и да се не прослеђују серверима друштвеног медија.
Истраживач каже у својим налазима, који су у складу са ранијим открићем праћења од стране Инстаграма и Фацебоока у претраживачима у апликацијама, да би ТикТок-ова изјава можда могла бити тачна. „Само зато што апликација убацује ЈаваСцрипт у спољне веб локације не значи нужно да апликација ради нешто злонамерно. Не постоји начин да се тачно сазна које податке прегледач у апликацији прикупља и да ли се ови подаци прослеђују или користе.”
Стога није дато да ТикТок заиста бележи унос корисника са тастатуре, а камоли да га шаље на сопствене сервере или на други начин чува. Међутим, готово је извесно да би то било могуће. Из тог разлога, према Краусеу, паметно је копирати везе претраживача преко ТикТок-а, али и преко Фацебоок-а и Инстаграма и налепити их директно у поуздани претраживач. На овај начин, релевантне апликације не могу убацити код за регистрацију осетљивих података на овај начин.