TikTok injecteert code in webpagina’s van derden wanneer een gebruiker in de TikTok-app een browserpagina opent. Deze code zou onder meer kunnen dienen als een keylogger. Volgens het sociale medium wordt de betreffende code alleen voor ontwikkelingsdoeleinden gebruikt.

De omstreden code. Afbeelding via Felix Krause

Ontwikkelaar en beveiligingsonderzoeker Felix Krause ontdekte dat wanneer een gebruiker een link opent in de iOS-versie van TikTok, er zich een in-app browser opent waar het sociale medium JavaScript-code in kan injecteren. Hierdoor zouden met het toetsenbord ingevoerde gegevens, waaronder wachtwoorden, betalingsinformatie en andere gegevens, geregistreerd kunnen worden. Hij onderzocht niet of dit ook het geval is voor de Android-variant van de applicatie.

TikTok bevestigt tegenover Forbes dat de JavaScript-code inderdaad aanwezig is, maar dat de berichten over een vermeende keylogger misleidend zijn. Het omstreden stuk code zou een ongebruikt onderdeel van een sdk van een derde partij zijn. “Zoals andere platformen gebruiken wij ook een in-app browser om een optimale gebruikerservaring te bieden. De betreffende JavaScript-code wordt gebruikt voor debugging, troubleshooting en het monitoren van de prestaties van de applicatie, bijvoorbeeld voor het checken van de laadsnelheid van een pagina en of de pagina crasht.”

Het keyloggergedeelte van de code van de sdk van een derde partij zou dus niet gebruikt worden. Het is niet duidelijk wie deze derde partij is en of zij daadwerkelijk een keylogger nodig zou hebben voor ontwikkelingsdoeleinden. TikTok suggereert verder dat bepaalde geregistreerde data alleen lokaal op het apparaat verwerkt wordt en niet doorgestuurd wordt naar servers van het sociale medium.

De onderzoeker zegt in zijn bevindingen, die overigens aansluiten bij de eerdere ontdekking van tracking door Instagram en Facebook in in-app browsers, dat het statement van TikTok eventueel zou kunnen kloppen. “Dat een app JavaScript in externe websites injecteert, betekent niet per definitie dat de app iets kwaadaardigs doet. Er is geen manier om te weten wat voor data een in-app browser precies verzamelt en of deze data doorgestuurd dan wel gebruikt wordt.”

Het is dus geen gegeven dat TikTok inderdaad de toetsenbordinput van gebruikers registreert, laat staan naar zijn eigen servers stuurt of anderzins opslaat. Wel is het zo goed als zeker dat dit mogelijk zou zijn. Om die reden is het volgens Krause verstandig om browserlinks via TikTok, maar ook via Facebook en Instagram, te kopiëren en direct in een vertrouwde browser te plakken. Op deze manier kunnen de betreffende applicaties geen code injecteren om op deze manier gevoelige data te registreren.