Apple Mulai Program Bug Bounty, Ini Jenis Bug dan Hadiahnya!

Cyberthreat.id – Apple Inc, perusahaan perangkat lunak dan perangkat keras yang berkantor pusat di Cupertino, California, AS, pada hari ini, Jumat (20 Desember 2019) memulai sayembara perburuan celah keamanan (bug bounty).

Pada Agustus lalu, produsen iPhone tersebut mengumumkan akan membuka program bug bounty di acara konferensi Black Hat di Las Vegas.

Sayembara itu berbasis undangan hanya untuk peneliti keamanan terpilih dan hanya menerima bug keamanan pada sistem operasi iOS.

“Mulai hari ini, perusahaan akan menerima laporan kerentanan untuk spektrum produk yang jauh lebih luas, termasuk untuk perangkat iPad, macOS, tvOS, watchOS, dan iCloud,” demikian tulis ZDNet, Jumat.

Perusahaan meningkatkan hadiah bug bounty dari US$ 200.000 menjadi US$ 1.500.000 tergantung pada kompleksitas dan keparahan rantai eksploitasi.

Apple telah merilis peraturan atau pedoman dalam bug bounty (bisa cek di sini). Di situs webnya, ada perincian imbalan yang akan diperoleh para peneliti per eksploitasi yang ditemukan.

Aturannya cukup ketat dan menetapkan standar tinggi untuk mendapatkan hadiah teratas. Agar memenuhi syarat untuk hadiah utama dan berbagai bonus, peneliti harus menyerahkan laporan yang jelas. Ini termasuk:

• penjelasan rinci tentang masalah yang dilaporkan.
• prasyarat dan langkah apa pun untuk membawa sistem ke kondisi terdampak.
• eksploitasi yang cukup andal untuk masalah yang dilaporkan.
• informasi yang cukup bagi apple untuk dapat mereproduksi masalah secara wajar.

Untuk mendapatkan hadiah tertinggi, peneliti keamanan harus mendapatkan bug keamanan yang baru, bersifat memengaruhi banyak platform, bekerja pada perangkat keras dan perangkat lunak terbaru, dan berdampak pada komponen sensitif.

Keterangan: jenis kerentanan yang diminta dan hadiah yang diberikan oleh Apple. | Foto: Apple

“Kerentanan yang ditemukan dalam rilis beta juga sangat dihargai. Apple mengatakan akan menambahkan bonus 50 persen di atas pembayaran reguler untuk bug apa pun yang dilaporkan dalam rilis beta,” tulis ZDNet.

“Alasan mengapa bug dalam rilis beta sangat dihargai adalah karena laporan bug ini memungkinkan Apple untuk memperbaiki kelemahan keamanan utama sebelum mereka mencapai versi produksi perangkat lunaknya, di mana mereka akan berdampak pada miliaran perangkat.”

Apple juga akan membayar bonus 50 persen untuk bug regresi. Ini adalah bug yang sebelumnya ditambal Apple di versi lama dari perangkat lunaknya, tetapi mereka telah secara tidak sengaja diperkenalkan kembali dalam kode di kemudian hari.

Lalu ada kategori bug yang memungkinkan serangan tanpa klik atau satu klik. Namun, Apple menuntut rantai eksploitasi penuh untuk jenis pengiriman jenis ini. Jika salah satu dari serangan ini menggunakan tiga bug yang dirantai bersama, peneliti harus menyerahkan rantai eksploitasi penuh yang menggabungkan ketiga bug, dan tidak hanya satu—jika mereka ingin mendapatkan hadiah maksimum.

"Salah satu tantangan terbesar dari program bug bounty adalah menyaring semua laporan di bawah standar, dan mengetahui apa itu bug yang nyata/valid dan dampak dari bug tersebut," kata Patrick Wardle, Peneliti Keamanan Utama di Jamf (solusi manajemen perangkat Apple) dan pakar keamanan Apple.