La navegación in-app se refiere a cualquier actividad de sitios web de terceros que se abre dentro de la aplicación. TikTok utiliza su propio navegador in-app.
Krause estudió el código JavaScript que las aplicaciones inyectan en los sitios web de terceros. Este código permite a las plataformas monitorizar la actividad de los usuarios.
La herramienta de seguridad InAppBrowser observó que el navegador in-app de TikTok iOS se “suscribe” a todas las entradas del teclado cuando un usuario interactúa con un sitio web externo, incluyendo información sensible como datos de tarjetas de crédito y contraseñas.
Krause cree que poner código JavaScript en sitios web de terceros es como instalar un keylogger. Con todo, el experto recalca que inyectar JavaScript en otros sitios web no garantiza que una aplicación sea dañina. “No podemos saber qué datos obtiene cada navegador in-app, cómo se envían o si se utilizan”, dijo.
TikTok calificó las conclusiones del informe de erróneas y engañosas, señalando que el propio Krause admite que la codificación no significa, en sí, que la app sea maliciosa. La plataforma admitió la presencia de código JavaScript, pero dijo que no registraba las pulsaciones de teclas ni las entradas de texto y que sólo se utiliza para la supervisión del rendimiento, la depuración y la resolución de problemas para mantener una “experiencia de usuario óptima”.
Las funciones “keypress” y “keydown” son elementos de entrada comunes que TikTok no utiliza para el registro de pulsaciones de teclas, dijo la compañía, añadiendo que el código procede de un SDK de terceros.
El análisis de Krause incluyó a TikTok, Facebook, Instagram, Facebook Messenger, Amazon, Snapchat y Robinhood. Krause dice que sólo TikTok rastrea las pulsaciones del teclado.
Poco después de publicada la aclaración de TikTok, Krause actualizó su análisis señalando: “La declaración confirma mis hallazgos. TikTok inyecta código en sitios web de terceros a través de sus navegadores in-app, que se comporta como un keylogger. Sin embargo, [TikTok] afirma que no lo utiliza”.