Sudah hampir satu dekade sejak Apple meluncurkan program bug bounty-nya, dan perusahaan ini selalu memamerkan nilai hadiah maksimum yang signifikan—$200.000 pada tahun 2016 dan $1 juta pada 2019. Kini, perusahaan tersebut kembali menaikkan taruhannya. Dalam konferensi keamanan ofensif Hexacon di Paris pada hari Jumat, wakil presiden teknik dan arsitektur keamanan Apple, Ivan Krstić, mengumumkan hadiah maksimum baru sebesar $2 juta untuk rangkaian eksploitasi perangkat lunak yang dapat disalahgunakan untuk spyware.
Langkah ini mencerminkan betapa berharganya kerentanan yang dapat dieksploitasi dalam lingkungan seluler Apple yang sangat terlindungi—serta sejauh mana perusahaan akan berupaya agar temuan semacam itu tidak jatuh ke tangan yang salah. Selain pembayaran individual, program bug bounty perusahaan juga mencakup struktur bonus, yang menambahkan penghargaan tambahan untuk eksploitasi yang dapat melewati Lockdown Mode-nya yang sangat aman, serta yang ditemukan saat perangkat lunak Apple masih dalam fase pengujian beta. Jika digabungkan, hadiah maksimum untuk apa yang sebenarnya dapat menjadi rangkaian eksploitasi yang sangat berbahaya kini mencapai $5 juta. Perubahan ini akan berlaku mulai bulan depan.
“Kami siap membayar banyak sekali uang di sini, dan ada alasannya,” kata Krstić kepada WIRED. “Kami ingin memastikan bahwa untuk kategori yang paling sulit, masalah yang paling rumit, hal-hal yang paling mirip dengan jenis serangan yang kami lihat dengan spyware tentara bayaran—para peneliti yang memiliki keterampilan dan kemampuan tersebut serta mencurahkan usaha dan waktu mereka dapat memperoleh imbalan yang sangat besar.”
Apple menyatakan bahwa terdapat lebih dari 2,35 miliar perangkatnya yang aktif di seluruh dunia. Program bug bounty perusahaan pada awalnya merupakan program undangan khusus untuk peneliti terkemuka, namun sejak dibuka untuk publik pada tahun 2020, Apple mengatakan telah memberikan lebih dari $35 juta kepada lebih dari 800 peneliti keamanan. Pembayaran dengan nilai tertinggi memang sangat langka, tetapi Krstić menyebutkan bahwa perusahaan telah melakukan beberapa pembayaran sebesar $500.000 dalam beberapa tahun terakhir.
Selain potensi hadiah yang lebih tinggi, Apple juga memperluas kategori bug bounty-nya untuk mencakup jenis eksploitasi infrastruktur browser “WebKit” sekali-klik tertentu, serta eksploitasi jarak dekat nirkabel yang dilakukan dengan segala jenis radio. Bahkan terdapat penawaran baru yang disebut “Target Flags” yang menerapkan konsep kompetisi peretasan capture the flag ke dalam pengujian dunia nyata perangkat lunak Apple, guna membantu peneliti mendemonstrasikan kemampuan eksploitasi mereka dengan cepat dan definitif.
Program bug bounty Apple hanyalah salah satu dari banyak investasi jangka panjang yang bertujuan untuk mengurangi prevalensi kerentanan berbahaya atau memblokir eksploitasinya. Sebagai contoh, setelah lebih dari lima tahun bekerja, perusahaan bulan lalu mengumumkan perlindungan keamanan dalam jajaran iPhone 17 baru yang bertujuan untuk menetralkan kelas kerentanan iOS yang paling sering dieksploitasi. Dikenal sebagai Memory Integrity Enforcement, fitur ini merupakan upaya besar yang bertujuan melindungi sebagian kecil kelompok paling rentan dan menjadi sasaran tinggi di seluruh dunia—termasuk aktivis, jurnalis, dan politisi—sambil juga menambah pertahanan bagi semua pengguna perangkat baru. Sehubungan dengan itu, perusahaan mengumumkan pada hari Jumat bahwa mereka akan menyumbangkan seribu unit iPhone 17 kepada kelompok-kelompok hak asasi yang bekerja dengan orang-orang yang berisiko menghadapi serangan digital yang ditargetkan.
“Anda bisa berkata, ini tampaknya upaya yang sangat besar hanya untuk melindungi sejumlah kecil pengguna yang menjadi sasaran spyware tentara bayaran, tetapi ada catatan yang tak terbantahkan yang dijelaskan oleh jurnalis, perusahaan teknologi, dan organisasi masyarakat sipil bahwa teknologi ini terus disalahgunakan,” ujar Krstić. “Dan kami merasa memiliki kewajiban moral yang besar untuk membela pengguna tersebut. Meskipun sebagian besar pengguna kami tidak akan pernah menjadi sasaran hal seperti ini, pekerjaan yang kami lakukan pada akhirnya akan meningkatkan perlindungan untuk semua orang.”