TikTok chèn mã vào các trang web của bên thứ ba khi người dùng mở trang trình duyệt trong ứng dụng TikTok. Mã này có thể đóng vai trò như một keylogger, trong số những thứ khác. Theo phương tiện xã hội, mã được đề cập chỉ được sử dụng cho mục đích phát triển.
Nhà phát triển và nhà nghiên cứu bảo mật Felix Krause nhận thấy rằng khi người dùng mở một liên kết trong phiên bản TikTok dành cho iOS, một trình duyệt trong ứng dụng sẽ mở ra nơi phương tiện xã hội có thể chèn mã JavaScript. Điều này sẽ cho phép ghi lại dữ liệu được nhập bằng bàn phím, bao gồm mật khẩu, thông tin thanh toán và các dữ liệu khác. Ông không điều tra xem liệu phiên bản ứng dụng Android có xảy ra trường hợp này hay không.
TikTok xác nhận với Forbes rằng mã JavaScript thực sự có tồn tại, nhưng các thông báo về keylogger bị cáo buộc là sai lệch. Đoạn mã gây tranh cãi được cho là một phần chưa được sử dụng trong SDK của bên thứ ba. “Giống như các nền tảng khác, chúng tôi cũng sử dụng trình duyệt trong ứng dụng để cung cấp trải nghiệm người dùng tối ưu. Mã JavaScript có liên quan được sử dụng để gỡ lỗi, khắc phục sự cố và giám sát hiệu suất của ứng dụng, chẳng hạn như để kiểm tra tốc độ tải của trang và xem trang có gặp sự cố hay không.”
Do đó, phần keylogger của mã từ SDK của bên thứ ba sẽ không được sử dụng. Không rõ bên thứ ba này là ai và liệu họ có thực sự cần keylogger cho mục đích phát triển hay không. TikTok gợi ý thêm rằng một số dữ liệu đã đăng ký nhất định chỉ được xử lý cục bộ trên thiết bị và không được chuyển tiếp đến máy chủ của phương tiện xã hội.
Nhà nghiên cứu cho biết trong phát hiện của mình, phù hợp với phát hiện trước đó về việc Instagram và Facebook theo dõi trong các trình duyệt trong ứng dụng, rằng tuyên bố của TikTok có thể đúng. “Chỉ vì một ứng dụng chèn JavaScript vào các trang web bên ngoài không nhất thiết có nghĩa là ứng dụng đó đang làm điều gì đó độc hại. Không có cách nào để biết chính xác dữ liệu nào trình duyệt trong ứng dụng thu thập và liệu dữ liệu này có đang được chuyển tiếp hoặc sử dụng hay không.”
Do đó, không có gì chắc chắn rằng TikTok thực sự ghi lại hoạt động nhập bằng bàn phím của người dùng chứ đừng nói đến việc gửi nó đến máy chủ của chính nó hoặc lưu trữ nó. Tuy nhiên, gần như chắc chắn rằng điều này sẽ có thể xảy ra. Vì lý do đó, theo Krause, điều khôn ngoan là sao chép các liên kết trình duyệt qua TikTok, cũng như qua Facebook và Instagram, rồi dán chúng trực tiếp vào một trình duyệt đáng tin cậy. Bằng cách này, các ứng dụng liên quan không thể chèn mã để đăng ký dữ liệu nhạy cảm theo cách này.