TikTok nyuntik kode kana halaman wéb pihak katilu nalika pangguna muka halaman browser dina aplikasi TikTok. Kode ieu bisa ngawula ka salaku keylogger a, diantara hal séjén. Nurutkeun média sosial, kode anu dimaksud téh ngan dipaké pikeun tujuan pangwangunan.
Pamekar sareng panaliti kaamanan Felix Krause mendakan yén nalika pangguna muka tautan dina versi ios TikTok, browser in-app dibuka dimana média sosial tiasa nyuntik kode JavaScript. Ieu bakal ngidinan data diasupkeun ku kibor, kaasup kecap akses, informasi pamayaran jeung data sejenna, bisa dirékam. Anjeunna henteu nalungtik naha ieu ogé kasus pikeun versi Android tina aplikasi.
TikTok negeskeun ka Forbes yén kode JavaScript memang aya, tapi pesen ngeunaan anu dituduhkeun keylogger nyasabkeun. Potongan kode anu kontroversial disebut bagian anu henteu kapake tina SDK pihak katilu. "Sapertos platform anu sanés, kami ogé nganggo browser in-app pikeun nyayogikeun pangalaman pangguna anu optimal. Kode JavaScript anu relevan dianggo pikeun debugging, ngungkulan sareng ngawaskeun kinerja aplikasi, contona pikeun mariksa kagancangan ngamuat halaman sareng upami halamanna ngadat.
Ku kituna, bagian keylogger kode ti pihak katilu SDK moal dipaké. Henteu écés saha pihak katilu ieu sareng naha éta leres-leres peryogi keylogger pikeun tujuan pangwangunan. TikTok salajengna nunjukkeun yén data kadaptar tangtu ngan ukur diolah sacara lokal dina alat sareng henteu diteruskeun ka server média sosial.
Panaliti nyarios dina panemuanna, anu saluyu sareng panemuan sateuacana pikeun nyukcruk ku Instagram sareng Facebook dina browser in-app, yén pernyataan TikTok sigana leres. "Ngan kusabab hiji aplikasi nyuntik JavaScript kana situs wéb éksternal henteu hartosna yén aplikasi éta ngalakukeun anu jahat. Teu aya cara pikeun terang persis data naon anu dikumpulkeun dina browser dina aplikasi sareng naha data ieu diteruskeun atanapi dianggo.
Ku alatan éta, henteu nunjukkeun yén TikTok leres-leres ngarékam input keyboard pangguna, sumawona ngirimkeunana ka server sorangan atanapi nyimpen éta. Sanajan kitu, éta ampir pasti yén ieu bakal mungkin. Kusabab éta, numutkeun Krause, wijaksana pikeun nyalin tautan panyungsi via TikTok, tapi ogé ngalangkungan Facebook sareng Instagram, teras nempelkeunana langsung kana browser anu dipercaya. Ku cara kieu, aplikasi anu relevan teu tiasa nyuntik kode pikeun ngadaptar data sénsitip ku cara ieu.