根据安全研究员菲利克斯·克劳斯(Felix Krause)的说法，抖音在iOS上定制的应用内浏览器将JavaScript代码注入外部网站，允许抖音在用户与给定网站互动时监控ldquo所有键盘输入和点击rdquo然而，据报道，抖音否认该代码被用于恶意行为。

Krause表示，当用户与外部网站进行交互时，抖音App中的浏览器会ldquo订阅rdquo所有键盘输入，包括任何敏感的细节，如密码和信用卡信息，以及屏幕上的每一次点击。

ldquo从技术角度来说，这相当于在第三方网站上安装了一个键盘记录器，rdquo克劳斯写了抖音注入的JavaScript代码。然而，研究人员补充说ldquo应用程序向外部网站注入JavaScript并不意味着该应用程序在做任何恶意的事情。rdquo

在与福布斯分享的一份声明中，抖音发言人承认有问题的JavaScript代码，但表示它只是用于调试、故障排除和性能监控，以确保ldquo最佳用户体验。。

ldquo与其他平台一样，我们使用应用内浏览器来提供最佳的用户体验，但问题中的Javascript代码仅用于调试、故障排除和性能监控mdashmdash比如检查页面加载速度或者是否崩溃。rdquo

Krause表示，想要保护自己免受任何潜在的恶意使用应用程序中浏览器的JavaScript代码的用户应该尽可能切换到使用平台的默认浏览器访问来查看给定的链接，例如iPhone和iPad上的Safari浏览器。

克劳斯表示，脸书和Instagram是另外两个有问题的应用。他们将JavaScript代码插入应用程序浏览器中加载的外部网站，从而使应用程序能够跟踪用户活动。脸书和Instagram的母公司Meta的发言人在推文中表示，公司ldquo此代码是有意开发的，以尊重人们在我们的平台上的应用程序跟踪的透明度。。Meta Instagram被曝光通过应用内浏览器跟踪用户的在线活动，这已经违反了苹果的iOS隐私政策。

苹果没有立即回应置评请求。

抖音发言人进一步指出，

ldquo该报告关于抖音的结论是不正确的，具有误导性。研究人员明确表示，JavaScript代码并不意味着我们的应用程序正在进行任何恶意行为，并承认他们无法知道我们的应用内浏览器收集了什么样的数据。我们不会通过此代码收集击键或文本输入。此代码仅用于调试、故障排除和性能监控。rdquo

据抖音发言人称，JavaScript代码是抖音正在使用的软件开发工具包的一部分，而克劳斯提到的ldquo按键rdquo；和ldquokeydownrdquo功能抖音是一种常用输入，不用于按键记录。