Ang TikTok ay nag-inject ng code sa mga third-party na web page kapag ang isang user ay nagbukas ng isang browser page sa TikTok app. Ang code na ito ay maaaring magsilbi bilang isang keylogger, bukod sa iba pang mga bagay. Ayon sa social medium, ang code na pinag-uusapan ay ginagamit lamang para sa mga layunin ng pag-unlad.
Nalaman ng developer at security researcher na si Felix Krause na kapag nagbukas ang isang user ng link sa iOS na bersyon ng TikTok, bubukas ang isang in-app na browser kung saan maaaring mag-inject ng JavaScript code ang social medium. Papayagan nito ang data na ipinasok gamit ang keyboard, kabilang ang mga password, impormasyon sa pagbabayad at iba pang data, na maitala. Hindi niya inimbestigahan kung ito rin ang kaso para sa bersyon ng Android ng application.
Kinukumpirma ng TikTok sa Forbes na talagang naroroon ang JavaScript code, ngunit ang mga mensahe tungkol sa isang di-umano'y keylogger ay nakakapanlinlang. Ang kontrobersyal na piraso ng code ay sinasabing hindi nagamit na bahagi ng isang third-party na SDK. “Tulad ng ibang mga platform, gumagamit din kami ng in-app na browser para magbigay ng pinakamainam na karanasan ng user. Ang nauugnay na JavaScript code ay ginagamit para sa pag-debug, pag-troubleshoot at pagsubaybay sa pagganap ng application, halimbawa upang suriin ang bilis ng pag-load ng isang page at kung nag-crash ang page."
Kaya, ang keylogger na bahagi ng code mula sa third party na SDK ay hindi gagamitin. Hindi malinaw kung sino ang third party na ito at kung talagang kailangan nila ng keylogger para sa mga layunin ng pagpapaunlad. Iminumungkahi pa ng TikTok na ang ilang nakarehistrong data ay lokal lamang na pinoproseso sa device at hindi ipinapasa sa mga server ng social medium.
Sinabi ng mananaliksik sa kanyang mga natuklasan, na naaayon sa naunang pagtuklas ng pagsubaybay ng Instagram at Facebook sa mga in-app na browser, na posibleng tama ang pahayag ng TikTok. "Dahil lamang sa isang app na nag-inject ng JavaScript sa mga panlabas na website ay hindi nangangahulugan na ang app ay gumagawa ng isang bagay na nakakapinsala. Walang paraan upang malaman kung ano mismo ang data na kinokolekta ng isang in-app na browser at kung ang data na ito ay ipinapasa o ginagamit."
Samakatuwid, hindi ibinigay na ang TikTok ay talagang nagtatala ng input ng keyboard ng mga gumagamit, pabayaan na ipadala ito sa sarili nitong mga server o kung hindi man ay iniimbak ito. Gayunpaman, halos tiyak na ito ay magiging posible. Para sa kadahilanang iyon, ayon kay Krause, matalinong kopyahin ang mga link ng browser sa pamamagitan ng TikTok, ngunit sa pamamagitan din ng Facebook at Instagram, at direktang i-paste ang mga ito sa isang pinagkakatiwalaang browser. Sa ganitong paraan, hindi makakapag-inject ng code ang mga nauugnay na application para magrehistro ng sensitibong data sa ganitong paraan.