Apple Gandakan Hadiah Bug Bounty: Bayaran hingga US$2 Juta untuk Zero-Click RCE

Perubahan besar pada program imbalan kerentanan, perluasan kategori riset, dan struktur bonus yang lebih transparan

Apple mengumumkan perluasan signifikan terhadap program bug bounty-nya yang meliputi kenaikan jumlah imbalan, penambahan kategori kerentanan, serta mekanisme bonus yang dapat meningkatkan nilai pembayaran menjadi lebih dari US$5 juta. Langkah ini ditujukan untuk mendorong peneliti keamanan melaporkan temuan kritis—terutama yang mirip dengan rantai eksploitasi spyware—kepada Apple sebelum disalahgunakan pihak jahat.

Sejak peluncuran program terbuka pada 2020, Apple mencatat telah membayar sekitar US$35 juta kepada lebih dari 800 peneliti. Berdasarkan skema terbaru, imbalan tertinggi untuk laporan yang menunjukkan kemampuan remote code execution (RCE) tanpa interaksi pengguna—dikenal sebagai zero-click—ditingkatkan menjadi US$2 juta. Apple juga menyatakan bonus tambahan akan diberikan untuk temuan yang melewati proteksi seperti Lockdown Mode atau ditemukan saat perangkat masih dalam versi beta, sehingga total pembayaran bisa melebihi US$5 juta dalam kasus tertentu.

Selain kategori zero-click, sejumlah kategori lain juga memperoleh peningkatan atau penetapan nilai baru, antara lain:

• One-click (memerlukan interaksi pengguna) untuk serangan remote — US$1.000.000.
• Serangan jarak dekat nirkabel (wireless proximity) — US$1.000.000.
• Akses iCloud tidak sah secara luas (broad unauthorized iCloud access) — US$1.000.000.
• Rangkaian eksploitasi WebKit yang menghasilkan eksekusi kode tak bertanda (unsigned arbitrary code execution) — US$1.000.000.
• Serangan terhadap perangkat terkunci dengan akses fisik — US$500.000.
• Pelarian dari sandbox aplikasi (app sandbox escape) — US$500.000.
• One-click WebKit sandbox escape — US$300.000.
• Bypass penuh macOS Gatekeeper tanpa interaksi pengguna — US$100.000.
  Apple juga mempertahankan penghargaan kecil US$1.000 sebagai insentif bagi laporan valid dengan dampak rendah.

Perusahaan menyebut dua kategori — bypass Gatekeeper tanpa interaksi dan akses iCloud luas — sebagai tantangan tinggi yang hingga kini belum pernah diterima sebagai laporan valid. Untuk kategori wireless proximity, Apple menegaskan belum mengamati serangan zero-click nyata yang hanya memakai vektor nirkabel jarak dekat, sehingga kategori ini diuangkan hingga US$1 juta (kenaikan dari US$250.000 sebelumnya) dan cakupannya diperluas termasuk komponen cip buatan Apple seperti C1, C1X, dan N1.

Sebagai bagian dari upaya mitigasi ancaman spyware yang semakin canggih, Apple memperkenalkan dan memperkuat fitur keamanan di iOS terbaru—termasuk Lockdown Mode dan Memory Integrity Enforcement—yang membuat pengembangan serta pelaksanaan serangan stealth lebih mahal dan sulit bagi aktor berbahaya.

Untuk mendukung kelompok berisiko tinggi, Apple berencana mendistribusikan 1.000 unit iPhone 17 yang telah diamankan ke organisasi masyarakat sipil pada 2026. Perangkat tersebut juga akan menjadi bagian dari program Security Research Device, yang dapat diakses peneliti keamanan; pendaftaran untuk program itu dibuka hingga 31 Oktober.

Apple berharap kenaikan nilai imbalan ini akan mendorong lebih banyak peneliti untuk melaporkan kerentanan melalui jalur resmi—mengurangi insentif pasar gelap bagi exploit yang dapat disalahgunakan oleh vendor spyware mercenary atau pelaku berniat jahat lainnya—serta memperkuat keamanan ekosistem perangkat Apple secara keseluruhan.

Sumber: BleepingComputer