TikTok вставляє код на веб-сторінки сторонніх розробників, коли користувач відкриває сторінку браузера в програмі TikTok. Цей код, серед іншого, може служити кейлоггером. Відповідно до соцмережі, код, про який йде мова, використовується лише для розробки.
Розробник і дослідник безпеки Фелікс Краузе виявив, що коли користувач відкриває посилання у версії TikTok для iOS, відкривається браузер у додатку, куди соціальне середовище може вставляти код JavaScript. Це дозволить записувати дані, введені за допомогою клавіатури, включаючи паролі, платіжну інформацію та інші дані. Він не досліджував, чи це також стосується версії програми для Android.
TikTok підтверджує Forbes, що код JavaScript дійсно присутній, але повідомлення про ймовірний кейлоггер є оманливими. Вважається, що суперечливий фрагмент коду є невикористаною частиною стороннього SDK. «Як і інші платформи, ми також використовуємо браузер у програмі, щоб забезпечити оптимальну взаємодію з користувачем. Відповідний код JavaScript використовується для налагодження, усунення несправностей і моніторингу продуктивності програми, наприклад, для перевірки швидкості завантаження сторінки та збою сторінки».
Таким чином, частина коду стороннього SDK для кейлоггера не використовуватиметься. Незрозуміло, хто ця третя сторона і чи дійсно їй потрібен кейлоггер для цілей розробки. Крім того, TikTok припускає, що певні зареєстровані дані обробляються лише локально на пристрої та не пересилаються на сервери соціального середовища.
Дослідник у своїх висновках, які узгоджуються з попереднім відкриттям відстеження Instagram і Facebook у браузерах у додатках, каже, що заява TikTok може бути правильною. «Тільки тому, що програма вставляє JavaScript на зовнішні веб-сайти, не обов’язково означає, що програма робить щось шкідливе. Немає способу точно дізнатися, які дані збирає веб-переглядач у програмі та чи ці дані пересилаються чи використовуються».
Тому невідомо, що TikTok справді записує введення користувачами з клавіатури, не кажучи вже про те, що надсилає його на власні сервери чи іншим чином зберігає. Проте майже впевнено, що це можливо. З цієї причини, за словами Краузе, доцільно копіювати посилання браузера через TikTok, а також через Facebook і Instagram, і вставляти їх безпосередньо в надійний браузер. Таким чином, відповідні програми не можуть вводити код для реєстрації конфіденційних даних у такий спосіб.