Bir kullanıcı TikTok uygulamasında bir tarayıcı sayfasını açtığında TikTok, üçüncü taraf web sayfalarına kod enjekte eder. Bu kod, diğer şeylerin yanı sıra bir keylogger olarak da kullanılabilir. Sosyal ortama göre söz konusu kod yalnızca geliştirme amaçlı kullanılıyor.
Geliştirici ve güvenlik araştırmacısı Felix Krause, bir kullanıcı TikTok'un iOS sürümünde bir bağlantıyı açtığında, sosyal ortamın JavaScript kodunu enjekte edebileceği bir uygulama içi tarayıcının açıldığını buldu. Bu, şifreler, ödeme bilgileri ve diğer veriler dahil olmak üzere klavyeyle girilen verilerin kaydedilmesine olanak tanır. Uygulamanın Android sürümü için de durumun böyle olup olmadığını araştırmadı.
TikTok, Forbes'a JavaScript kodunun gerçekten mevcut olduğunu ancak iddia edilen bir keylogger hakkındaki mesajların yanıltıcı olduğunu doğruladı. Tartışmalı kod parçasının üçüncü taraf bir SDK'nın kullanılmayan bir parçası olduğu söyleniyor. “Diğer platformlar gibi biz de en iyi kullanıcı deneyimini sağlamak için uygulama içi bir tarayıcı kullanıyoruz. İlgili JavaScript kodu, örneğin bir sayfanın yükleme hızını ve sayfanın çöküp çökmediğini kontrol etmek için hata ayıklama, sorun giderme ve uygulamanın performansını izlemek için kullanılır."
Böylece üçüncü taraf SDK'dan gelen kodun keylogger kısmı kullanılmayacaktır. Bu üçüncü tarafın kim olduğu ve geliştirme amacıyla gerçekten bir keylogger'a ihtiyaç duyup duymayacakları açık değil. TikTok ayrıca, belirli kayıtlı verilerin cihazda yalnızca yerel olarak işlendiğini ve sosyal medya sunucularına iletilmediğini öne sürüyor.
Araştırmacı, uygulama içi tarayıcılarda Instagram ve Facebook tarafından takip özelliğinin daha önce keşfedilmesiyle paralel olan bulgularında, TikTok'un açıklamasının muhtemelen doğru olabileceğini söylüyor. “Bir uygulamanın harici web sitelerine JavaScript enjekte etmesi, uygulamanın mutlaka kötü amaçlı bir şey yaptığı anlamına gelmez. Bir uygulama içi tarayıcının tam olarak hangi verileri topladığını ve bu verilerin iletilip iletilmediğini veya kullanılıp kullanılmadığını bilmenin bir yolu yok."
Bu nedenle TikTok'un, bırakın kendi sunucularına göndermesi veya başka şekilde saklaması, kullanıcıların klavye girişlerini gerçekten kaydettiği kesin değil. Ancak bunun mümkün olacağı neredeyse kesindir. Bu nedenle Krause'a göre tarayıcı bağlantılarını TikTok'un yanı sıra Facebook ve Instagram üzerinden de kopyalayıp doğrudan güvenilir bir tarayıcıya yapıştırmak akıllıca olacaktır. Bu sayede ilgili uygulamalar hassas verileri bu şekilde kaydetmek için kod enjekte edemez.