Sejak diluncurkan program bug bounty hampir satu dekade yang lalu, Apple selalu menggembar-gemborkan pembayaran maksimum yang luar biasa—$200.000 pada tahun 2016 dan $1 juta pada tahun 2019. Kini perusahaan tersebut meningkatkan taruhannya lagi. Pada konferensi keamanan ofensif Hexacon di Paris pada hari Jumat, wakil presiden teknik keamanan dan arsitektur Apple Ivan Krstić mengumumkan pembayaran maksimum baru sebesar $2 juta untuk rangkaian eksploitasi perangkat lunak yang dapat disalahgunakan untuk spyware.
Langkah ini mencerminkan betapa berharganya kerentanan yang dapat dieksploitasi dalam lingkungan seluler Apple yang sangat terlindungi—dan sejauh mana perusahaan akan berupaya menjaga penemuan tersebut agar tidak jatuh ke tangan yang salah. Selain pembayaran individu, bug bounty perusahaan juga mencakup struktur bonus, menambahkan penghargaan tambahan untuk eksploitasi yang dapat melewati Mode Lockdown ekstra aman serta yang ditemukan saat perangkat lunak Apple masih dalam tahap pengujian beta. Secara keseluruhan, imbalan maksimum untuk rantai eksploitasi yang berpotensi menimbulkan bencana sekarang adalah $5 juta. Perubahan tersebut mulai berlaku bulan depan.
“Kami antre untuk membayar jutaan dolar di sini, dan ada alasannya,” kata Krstić kepada WIRED. “Kami ingin memastikan bahwa untuk kategori yang paling sulit, masalah yang paling sulit, hal-hal yang paling mencerminkan jenis serangan yang kita lihat dengan spyware tentara bayaran—bahwa para peneliti yang memiliki keterampilan dan kemampuan tersebut serta mengerahkan upaya dan waktu dapat memperoleh imbalan yang luar biasa.”
Apple mengatakan ada lebih dari 2,35 miliar perangkatnya yang aktif di seluruh dunia. Bug bounty yang diberikan perusahaan ini pada awalnya merupakan program khusus undangan bagi para peneliti terkemuka, namun sejak dibuka untuk umum pada tahun 2020, Apple mengatakan bahwa mereka telah memberikan lebih dari $35 juta kepada lebih dari 800 peneliti keamanan. Pembayaran dalam jumlah besar sangat jarang terjadi, namun Krstić mengatakan bahwa perusahaan telah melakukan pembayaran berkali-kali sebesar $500.000 dalam beberapa tahun terakhir.
Selain potensi imbalan yang lebih tinggi, Apple juga memperluas kategori bug bounty dengan menyertakan jenis eksploitasi infrastruktur browser “WebKit” sekali klik tertentu serta eksploitasi kedekatan nirkabel yang dilakukan dengan jenis radio apa pun. Dan bahkan ada penawaran baru yang dikenal sebagai “Target Flags” yang menempatkan konsep kompetisi peretasan capture the flag ke dalam pengujian perangkat lunak Apple di dunia nyata untuk membantu peneliti menunjukkan kemampuan eksploitasi mereka dengan cepat dan pasti.
Bug bounty yang diberikan Apple hanyalah salah satu dari banyak investasi jangka panjang yang bertujuan mengurangi prevalensi kerentanan berbahaya atau memblokir eksploitasinya. Misalnya, setelah lebih dari lima tahun bekerja, perusahaan mengumumkan perlindungan keamanan bulan lalu di jajaran iPhone 17 baru yang bertujuan untuk menghilangkan jenis bug iOS yang paling sering dieksploitasi. Dikenal sebagai Penegakan Integritas Memori, fitur ini merupakan langkah besar yang bertujuan untuk melindungi kelompok minoritas yang paling rentan dan menjadi sasaran utama di seluruh dunia—termasuk aktivis, jurnalis, dan politisi—sekaligus juga menambah pertahanan bagi semua pengguna perangkat baru. Untuk itu, perusahaan tersebut mengumumkan pada hari Jumat bahwa mereka akan menyumbangkan seribu iPhone 17 kepada kelompok hak asasi manusia yang bekerja dengan orang-orang yang berisiko menghadapi serangan digital yang ditargetkan.
“Bisa dibilang, hal ini merupakan upaya yang sangat besar untuk melindungi sejumlah kecil pengguna yang menjadi target spyware tentara bayaran, namun terdapat rekam jejak yang tidak dapat disangkal yang dijelaskan oleh jurnalis, perusahaan teknologi, dan organisasi masyarakat sipil bahwa teknologi ini terus-menerus disalahgunakan,” kata Krstić. “Dan kami merasakan kewajiban moral yang besar untuk membela para pengguna tersebut. Terlepas dari kenyataan bahwa sebagian besar pengguna kami tidak akan pernah menjadi sasaran hal seperti ini, upaya yang kami lakukan ini pada akhirnya akan meningkatkan perlindungan bagi semua orang.”
