TikTok huingiza msimbo kwenye kurasa za wavuti za watu wengine mtumiaji anapofungua ukurasa wa kivinjari katika programu ya TikTok. Nambari hii inaweza kutumika kama keylogger, kati ya mambo mengine. Kulingana na njia ya kijamii, msimbo unaohusika unatumika tu kwa madhumuni ya maendeleo.
Msanidi na mtafiti wa usalama Felix Krause aligundua kuwa mtumiaji anapofungua kiungo katika toleo la iOS la TikTok, kivinjari cha ndani ya programu hufungua ambapo njia ya kijamii inaweza kuingiza msimbo wa JavaScript. Hii itaruhusu data iliyoingizwa na kibodi, ikijumuisha manenosiri, maelezo ya malipo na data nyingine, kurekodiwa. Hakuchunguza ikiwa hii pia ndivyo ilivyo kwa toleo la Android la programu.
TikTok inathibitisha kwa Forbes kwamba msimbo wa JavaScript kweli upo, lakini kwamba ujumbe kuhusu kiweka keylogger zinazodaiwa ni za kupotosha. Sehemu ya msimbo yenye utata inasemekana kuwa sehemu isiyotumika ya SDK ya wahusika wengine. "Kama majukwaa mengine, pia tunatumia kivinjari cha ndani ya programu kutoa matumizi bora ya mtumiaji. Nambari husika ya JavaScript inatumika kwa utatuzi, utatuzi na ufuatiliaji wa utendakazi wa programu, kwa mfano kuangalia kasi ya upakiaji wa ukurasa na ikiwa ukurasa utaanguka."
Kwa hivyo, sehemu ya keylogger ya msimbo kutoka kwa SDK ya wahusika wengine haitatumika. Haijulikani wazi ni nani huyu mhusika wa tatu na kama wangehitaji kipiga keylogger kwa madhumuni ya maendeleo. TikTok inapendekeza zaidi kwamba data fulani iliyosajiliwa inachakatwa tu ndani ya kifaa na haitumiwi kwa seva za mitandao ya kijamii.
Mtafiti huyo anasema katika matokeo yake, ambayo yanaambatana na ugunduzi wa awali wa ufuatiliaji wa Instagram na Facebook katika vivinjari vya ndani ya programu, kwamba taarifa ya TikTok inaweza kuwa sahihi. "Kwa sababu tu programu inaingiza JavaScript kwenye tovuti za nje haimaanishi kuwa programu inafanya kitu kibaya. Hakuna njia ya kujua ni data gani haswa ambayo kivinjari cha ndani ya programu hukusanya na ikiwa data hii inasambazwa au inatumiwa."
Kwa hivyo haijazingatiwa kuwa TikTok kweli hurekodi ingizo la kibodi ya watumiaji, achilia mbali kuituma kwa seva zake au kuihifadhi vinginevyo. Walakini, ni karibu hakika kwamba hii itawezekana. Kwa sababu hiyo, kulingana na Krause, ni busara kunakili viungo vya kivinjari kupitia TikTok, lakini pia kupitia Facebook na Instagram, na kubandika moja kwa moja kwenye kivinjari kinachoaminika. Kwa njia hii, programu husika haziwezi kuingiza msimbo wa kusajili data nyeti kwa njia hii.