Platforma ubrizgava JavaScript kod pomoću kog prati sve što korisnici rade kada otvore linkove.
Prema istraživaču sajber bezbjednosti Feliksu Krausu, pregledač u aplikaciji TikTok navodno ubrizgava JavaScript kod u eksterne veb stranice i nadgleda "sva dodirivanja i sve unose sa tastature" korisnika. TikTok demantuje da koristi kod u zlonamerne svrhe.
"Iz tehničke perspektive, ovo je ekvivalent instaliranju keylogger softvera na sajtove trećih strana", kaže Kraus. "Ovo je bio aktivan izbor kompanije, nije bio trivijalan inženjerski zadatak i nije mogao da se desi slučajno".
Portparolka TikTok platforme Morin Šanahen je potvrdila postojanje ovog koda, ali kaže da se koristi za otklanjanje grešaka, rješavanje problema i praćenje performansi kako bi se obezbijedilo "optimalno korisničko iskustvo".
"Kao i druge platforme, mi koristimo pregledač u aplikaciji da bismo obezbijedili optimalno korisničko iskustvo, ali JavaScript kod u pitanje se koristi samo za otklanjanje grešaka, rješavanje problema i praćenje performansi tog iskustva - kao što je provjera koliko brzo se stranica učitava ili da li se ruši", kaže Šanahen.
Kraus savjetuje da bi korisnici koji žele da se zaštite od bilo kakvog potencijalnog zlonamernog korišćenja koda u predgledaču, trebalo da otvaraju linkove u podrazumevijanom pregledaču svog telefona, ako je to moguće.
"Kad god otvorite link iz bilo koje aplikacije, pogledajte da li aplikacija nudi način da otvorite trenutno prikazanu veb lokaciju u vašem podrazumijevanom pretraživaču", kaže Kraus. "Tokom ove analize, samo TikTok aplikacija nije nudila način da se to uradi".
Kraus je rekao da je napravio jednostavnu alatku koja omogućava svakome da provjeri da li pregledač u samoj aplikaciji ubrizgava JavaScript kod kada renderuje sajt. Istraživač je rekao da korisnici jednostavno mogu da otvore aplikaciju koju žele da analiziraju, da podijele adresu InAppBrowser.com negdje unutar aplikacije (kao što je direktna poruka drugoj osobi), otvore link unutar aplikacije i pročitaju detalje dobijenog izvještaja.