TikTok แทรกโค้ดลงในหน้าเว็บของบุคคลที่สามเมื่อผู้ใช้เปิดหน้าเบราว์เซอร์ในแอป TikTok รหัสนี้สามารถใช้เป็นคีย์ล็อกเกอร์ได้ ตามสื่อทางสังคม รหัสดังกล่าวใช้เพื่อการพัฒนาเท่านั้น
นักพัฒนาและนักวิจัยด้านความปลอดภัย Felix Krause พบว่าเมื่อผู้ใช้เปิดลิงก์ใน TikTok เวอร์ชัน iOS เบราว์เซอร์ในแอปจะเปิดขึ้นโดยที่สื่อโซเชียลสามารถใส่โค้ด JavaScript ได้ ข้อมูลนี้จะอนุญาตให้บันทึกข้อมูลที่ป้อนด้วยแป้นพิมพ์ รวมทั้งรหัสผ่าน ข้อมูลการชำระเงิน และข้อมูลอื่นๆ เขาไม่ได้ตรวจสอบว่าเป็นกรณีนี้สำหรับแอปพลิเคชันเวอร์ชัน Android ด้วยหรือไม่
TikTok ยืนยันกับ Forbes ว่ามีโค้ด JavaScript อยู่จริง แต่ข้อความเกี่ยวกับคีย์ล็อกเกอร์ที่ถูกกล่าวหาทำให้เข้าใจผิด โค้ดที่เป็นข้อขัดแย้งกล่าวกันว่าเป็นส่วนหนึ่งของ SDK บุคคลที่สามที่ไม่ได้ใช้งาน “เช่นเดียวกับแพลตฟอร์มอื่นๆ เรายังใช้เบราว์เซอร์ในแอพเพื่อมอบประสบการณ์การใช้งานที่เหมาะสมที่สุดแก่ผู้ใช้ รหัส JavaScript ที่เกี่ยวข้องจะใช้สำหรับการดีบัก การแก้ไขปัญหา และการตรวจสอบประสิทธิภาพของแอปพลิเคชัน เช่น เพื่อตรวจสอบความเร็วในการโหลดของหน้าและหากหน้าขัดข้อง”
ดังนั้น ส่วนคีย์ล็อกเกอร์ของโค้ดจาก SDK บุคคลที่สามจะไม่ถูกนำมาใช้ ไม่ชัดเจนว่าใครคือบุคคลที่สาม และพวกเขาต้องการคีย์ล็อกเกอร์เพื่อการพัฒนาหรือไม่ TikTok ยังแนะนำอีกว่าข้อมูลที่ลงทะเบียนบางอย่างได้รับการประมวลผลในเครื่องเท่านั้นและจะไม่ส่งต่อไปยังเซิร์ฟเวอร์ของสื่อโซเชียล
นักวิจัยกล่าวในการค้นพบของเขา ซึ่งสอดคล้องกับการค้นพบการติดตามโดย Instagram และ Facebook ก่อนหน้านี้ในเบราว์เซอร์ในแอพ ว่าคำกล่าวของ TikTok อาจถูกต้อง “การที่แอปแทรก JavaScript ลงในเว็บไซต์ภายนอกไม่ได้หมายความว่าแอปกำลังทำสิ่งที่เป็นอันตรายเสมอไป ไม่มีทางรู้แน่ชัดว่าเบราว์เซอร์ในแอปเก็บรวบรวมข้อมูลใดและมีการส่งต่อหรือใช้ข้อมูลนี้หรือไม่”
ดังนั้นจึงไม่ได้กำหนดว่า TikTok จะบันทึกการป้อนข้อมูลด้วยคีย์บอร์ดของผู้ใช้ นับประสาส่งไปยังเซิร์ฟเวอร์ของตัวเองหรือเก็บไว้อย่างอื่น อย่างไรก็ตาม เกือบจะแน่ใจว่าสิ่งนี้จะเป็นไปได้ ด้วยเหตุนี้ Krause จึงควรคัดลอกลิงก์ของเบราว์เซอร์ผ่าน TikTok แต่ยังผ่านทาง Facebook และ Instagram และวางลงในเบราว์เซอร์ที่เชื่อถือได้โดยตรง ด้วยวิธีนี้ แอปพลิเคชันที่เกี่ยวข้องไม่สามารถใส่โค้ดเพื่อลงทะเบียนข้อมูลที่ละเอียดอ่อนด้วยวิธีนี้ได้