جب کوئی صارف TikTok ایپ میں براؤزر کا صفحہ کھولتا ہے تو TikTok تیسرے فریق کے ویب صفحات میں کوڈ لگاتا ہے۔ یہ کوڈ دوسری چیزوں کے علاوہ کلیدی لاگر کے طور پر کام کر سکتا ہے۔ سوشل میڈیم کے مطابق، زیر بحث کوڈ صرف ترقیاتی مقاصد کے لیے استعمال ہوتا ہے۔
ڈویلپر اور سیکیورٹی محقق فیلکس کراؤس نے پایا کہ جب صارف TikTok کے iOS ورژن میں ایک لنک کھولتا ہے، تو ایک ان ایپ براؤزر کھلتا ہے جہاں سوشل میڈیم جاوا اسکرپٹ کوڈ انجیکشن کرسکتا ہے۔ یہ کی بورڈ کے ساتھ داخل کردہ ڈیٹا بشمول پاس ورڈ، ادائیگی کی معلومات اور دیگر ڈیٹا کو ریکارڈ کرنے کی اجازت دے گا۔ اس نے اس بات کی تحقیقات نہیں کی کہ آیا یہ ایپلی کیشن کے اینڈرائیڈ ورژن کے لیے بھی ہے۔
TikTok نے فوربس کو تصدیق کی ہے کہ جاوا اسکرپٹ کوڈ واقعی موجود ہے، لیکن یہ کہ ایک مبینہ کیلاگر کے بارے میں پیغامات گمراہ کن ہیں۔ کہا جاتا ہے کہ کوڈ کا متنازعہ حصہ تیسرے فریق SDK کا غیر استعمال شدہ حصہ ہے۔ "دوسرے پلیٹ فارمز کی طرح، ہم ایک بہترین صارف کا تجربہ فراہم کرنے کے لیے ایک درون ایپ براؤزر بھی استعمال کرتے ہیں۔ متعلقہ JavaScript کوڈ کو ڈیبگنگ، ٹربل شوٹنگ اور ایپلیکیشن کی کارکردگی کی نگرانی کے لیے استعمال کیا جاتا ہے، مثال کے طور پر کسی صفحہ کی لوڈنگ کی رفتار اور صفحہ کریش ہونے کی صورت میں۔
اس طرح، فریق ثالث SDK سے کوڈ کا keylogger حصہ استعمال نہیں کیا جائے گا۔ یہ واضح نہیں ہے کہ یہ تیسرا فریق کون ہے اور کیا انہیں درحقیقت ترقیاتی مقاصد کے لیے کیلاگر کی ضرورت ہوگی۔ TikTok مزید تجویز کرتا ہے کہ کچھ رجسٹرڈ ڈیٹا صرف ڈیوائس پر مقامی طور پر پروسیس کیا جاتا ہے اور اسے سوشل میڈیم کے سرورز کو فارورڈ نہیں کیا جاتا ہے۔
محقق نے اپنے نتائج میں کہا ہے کہ انسٹاگرام اور فیس بک کے ذریعے ان ایپ براؤزرز میں ٹریکنگ کی ابتدائی دریافت کے مطابق ہے کہ ٹِک ٹاک کا بیان ممکنہ طور پر درست ہو سکتا ہے۔ "صرف اس وجہ سے کہ ایک ایپ جاوا اسکرپٹ کو بیرونی ویب سائٹس میں داخل کرتی ہے اس کا لازمی طور پر یہ مطلب نہیں ہے کہ ایپ کچھ نقصاندہ کر رہی ہے۔ یہ جاننے کا کوئی طریقہ نہیں ہے کہ ایپ براؤزر کون سا ڈیٹا اکٹھا کرتا ہے اور آیا یہ ڈیٹا فارورڈ کیا جا رہا ہے یا استعمال کیا جا رہا ہے۔
لہذا یہ نہیں دیا جاتا ہے کہ TikTok واقعی صارفین کے کی بورڈ ان پٹ کو ریکارڈ کرتا ہے، اسے چھوڑ دو اسے اپنے سرورز پر بھیجتا ہے یا دوسری صورت میں اسے اسٹور کرتا ہے۔ تاہم، یہ تقریبا یقینی ہے کہ یہ ممکن ہو جائے گا. اسی وجہ سے، کراؤس کے مطابق، براؤزر کے لنکس کو TikTok کے ذریعے کاپی کرنا، بلکہ Facebook اور Instagram کے ذریعے بھی، اور انہیں براہ راست کسی قابل اعتماد براؤزر میں چسپاں کرنا دانشمندی ہے۔ اس طرح، متعلقہ ایپلی کیشنز اس طرح حساس ڈیٹا کو رجسٹر کرنے کے لیے کوڈ نہیں لگا سکتیں۔