Согласно анализу, который предоставил специалист по интернет-безопасности Феликс Краузе, веб-браузер приложения TikTok способен регистрировать все вводы с клавиатуры и потенциально предоставлять приложению доступ к конфиденциальной информации, такой как учетные данные для входа и отслеживать какие веб-сайты посещают пользователи и что они делают на этих веб-страницах.

Когда вы нажимаете на ссылку во время просмотра приложения TikTok, она открывается в собственном веб-браузере TikTok. Далеко не каждое приложение располагает своим браузером. Возьмем к примеру WhatsApp. Когда вы нажимаете на URL-адрес, который вам прислали в сообщении или вы нашли его в группе, оно автоматически открывается в веб-браузере, который установлен умолчанию на вашем телефоне. Это может быть любой браузер, начиная от самого распространенного Chrome и заканчивая менее известным Safari. 

TikTok не является единственным приложением, которое предлагает собственный браузер, но в его коде заметили потенциально опасные функции. По словам Краузе, встроенный браузер TikTok имеет командные строки JavaScript, которые позволяют регистрировать каждое нажатие клавиши, когда пользователи посещают веб-сайт. Это означает, что все действия с клавиатурой, от написанных сообщений и введённых данных учетных данных для входа в систему, могут быть записаны. 

Регистрация нажатий кнопок является одним из наиболее широко используемых методов кражи конфиденциальной информации, что заставляет задуматься, почему приложение для социальных сетей, такое как TikTok, использует "подозрительный" код для своего веб-браузера. Помимо отслеживания нажатий кнопок, встроенный браузер TikTok также может записывать весь написанный текст на экране. Приложение способно записывать каждое изображение, которое вы просматриваете, каждое видео, которое вы включили и каждый URL-адрес с которым вы взаимодействуете в веб-браузере TikTok.

Все это делается с помощью пользовательской функции JavaScript. Представители TikTok отвергли обвинения в отслеживании пользователей, но признали, что код JavaScript для вышеупомянутых действий действительно является частью работы браузера в приложении. Однако объяснения того, почему эти сомнительные функции связаны с веб-браузером в приложении, звучат довольно странно. 

В официальном заявлении, опубликованном Forbes, представитель TikTok упомянул, что противоречивый код JavaScript предназначен для «отладки, устранения неполадок и мониторинга производительности» веб-интерфейса, предлагаемого браузером в приложении. 

Здесь стоит отметить, что Краузе не утверждает, что нашел доказательства того, что TikTok злоупотребляет этой функцией для отслеживания пользователей, а также доказательства того, что эти ценные данные передаются третьим лицам.

Интересно, что из семи приложений, протестированных в рамках исследовательского проекта Краузе, TikTok оказался единственным, способным регистрировать нажатия кнопок. TikTok также является приложением, которое отслеживает самый широкий спектр действий пользователей — больше, чем Facebook, Instagram, Amazon и Snapchat

Недавнее расследование BuzzFeed показало, что доступ к данным пользователей из США было получено в Китае, несмотря на то, что компания неоднократно заявляла об обратном в прошлом. После отчета BuzzFeed, в котором упоминались украденные внутренние аудиозаписи, TikTok объявил, что перемещает все данные американских пользователей на серверы, расположенные на территории США, благодаря партнерству с Oracle. TikTok уже запрещен в Индии из соображений национальной безопасности и не так давно едва избежал запрета в США из-за аналогичных соображений.

В июне 2022 года комиссар FCC Брендан Карр попросил Google и Apple удалить TikTok из Play Store и App Store из соображений безопасности из-за предполагаемых связей с правительством Китая. Карр упомянул в открытом письме, что в Китае осуществляется доступ к конфиденциальным данным пользователей. Майкл Бекерман, глава отдела государственной политики TikTok для рынка США, опроверг эти утверждения в интервью CNN.