Theo chuyên gia bảo mật Felix Krause, trình duyệt trong ứng dụng (in-app) của TikTok đã theo sát mọi tương tác của người dùng trên bàn phím khi truy cập website bên ngoài, bao gồm cả các thông tin nhạy cảm như mật khẩu, thông tin thẻ tín dụng… cùng các thao tác chạm trên màn hình.
"Từ góc độ kỹ thuật, nó tương đương với việc cài keylogger vào website bên thứ ba" - Felix Krause nhấn mạnh. Tuy nhiên, chuyên gia bảo mật này cũng khẳng định, một ứng dụng chèn JavaScript vào website bên ngoài không đồng nghĩa ứng dụng làm điều gì độc hại.
Trong tuyên bố chia sẻ với tạp chí Forbes, người phát ngôn TikTok thừa nhận mã JavaScript trong nghi vấn nhưng khẳng định mã này chỉ dùng cho debug, phát hiện sự cố và giám sát hiệu suất nhằm đảm bảo trải nghiệm người dùng tối ưu, ví dụ như kiểm tra xem một website tải nhanh không hay có bị gián đoạn không.
Chuyên gia bảo mật Felix Krause khuyến nghị người dùng nên chuyển sang xem các liên kết trong trình duyệt mặc định của hệ điều hành như Safari trên iPhone, iPad nếu muốn yên tâm hơn.
Cũng theo Krause, Facebook và Instagram là hai ứng dụng chèn mã JavaScript vào website bên ngoài tải trong trình duyệt in-app, cho phép chúng có khả năng theo dõi hoạt động của người dùng. Tuy nhiên, trên Twitter, phát ngôn viên của Meta khẳng định, công ty phát triển mã này cho những người lựa chọn App Tracking Transparency (minh bạch theo dõi quảng cáo) trên nền tảng.
Felix Krause đã tạo một công cụ đơn giản để mọi người kiểm tra liệu một trình duyệt in-app có chèn mã JavaScript khi truy cập một website hay không. Người dùng chỉ cần mở ứng dụng muốn phân tích, chia sẻ địa chỉ InAppBrowser.com với ai đó qua ứng dụng, có thể bằng cách nhắn tin trực tiếp, bấm vào liên kết bên trong ứng dụng để mở nó trong trình duyệt in-app rồi đọc báo cáo chi tiết.