Penyelidik perisian dan pengasas Fastlane, Felix Krause baru-baru mendakwa kod Javascript tertanam pada pelayar-dalam-aplikasi (in-app browser) TikTok digunakan untuk menjejak ketukan kekunci, ketikan pada skrin, menyalin teks dan sebagainya. Beliau turut menyatakan ia merupakan isu keselamatan yang perlu dibimbangkan.
Bagaimanapun, TikTok menjelaskan kod tersebut hanya kegunaan debugging sahaja dan tidak boleh digunakan untuk menjejak atau melog maklumat pengguna ketika menggunakan aplikasi berkenaan.
TikTok merupakan salah satu aplikasi mudah alih paling popular hari ini terutamanya bagi golongan mudah. Ia telah dimuat turun sebanyak 2.6 billion kali sejak dilancarkan pada 2016 dengan sehingga 1 billion pengguna aktif di seluruh dunia.
Sebelum ini TikTok pernah beberapa kali mencetuskan kebimbangan berkait dengan soal keselamatan pengguna. Pesuruhjaya Suruhanjaya Komunikasi Persekutuan Amerika Syarikat (Federal Communications Commission, FCC) Brendan Carr juga pernah meminta Apple dan Google supaya membuang aplikasi berkenaan dari gedung aplikasi masing-masing.
Pendedahan terbaru ini dijangka meningkatkan lagi kebimbangan sesetengah pengguna mengenai isu keselamatan pada aplikasi tersebut. Krause menjelaskan TikTok mempunyai kod JavaScript tertanam di dalam pelayar-dalam-aplikasinya. Kod yang tertanam tersebut bukanlah yang perlu dibimbangkan kerana kesemua aplikasi dengan pelayar berintegrasi aplikasi mempunyai kod tersebut termasuklah Facebook dan Instagram. Apa yang dibimbangkan adalah tujuan kod JavaScript berkenaan digunakan ketika pengguna berinteraksi dengan pelayar.
Menurut Krause lagi, kod berkenaan mengesan ketikan pada skrin dari pengguna, apa yang pengguna salinkan ketika di dalam pelayar, dan yang paling membimbangkan beliau adalah kod tersebut menjejak segala ketukan kekunci dari pengguna. Setakat ini beliau mendakwa hanya aplikasi TikTok sahaja yang menjejak semua ketukan kekunci dari pengguna.
TikTok segera membidas dakwaan tersebut dan menyatakan kod JavaScript berkenaan yang mengandungi log kekunci, data ketikan skrin dan log salinan pautan dari pengguna hanya digunakan bagi tujuan debug sahaja. Kod berkenaan juga dikatakan disertakan di dalam kit pembangunan perisian pihak ketiga (SDK) dan ia tidak digunakan atau dipantau oleh pihak TikTok sendiri.
