Russel Brandom melaporkan dari The Verge:
Apple is planning a new bug bounty program that will offer cash in exchange for undiscovered vulnerabilities in its products, the company announced onstage at the Black Hat conference today. Launching in September, the program will offer cash rewards for working exploits that target the latest version of iOS or the most recent generation of hardware. It’s the first time Apple has explicitly offered cash in exchange for those vulnerabilities, although the company has long maintained a tip line for disclosing security issues.
[…]
For now, the new program is also limited to five distinct categories of bugs. The most valuable category — worth up to $200,000 — is vulnerabilities that compromise the secure boot firmware components, cutting at the heart of Apple’s hardware protections. Notably, those vulnerabilities are also particularly useful for jailbreaks. Smaller rewards are available for the extraction of data from the Secure Enclave, extraction of arbitrary code, escaping a sandboxed process, and obtaining unauthorized access to iCloud account data.
Apple bukan yang pertama menggelar program pencarian bug di sistem operasi yang dimilikinya. Google dan Microsoft sudah memiliki program yang sama sebelumnya bahkan menurut laporan Russel, Google membayar para hacker sebesar $2M untuk seluruh bug yang ditemukan dan sebagian besar berasal dari Android.
Keamanan merupakan salah satu faktor mengapa saya sampai sekarang masih setia menggunakan produk Apple. Bahkan hingga iOS 10 Apple masih berusaha untuk tetap menjaga kerahasiaan data penggunany. Differential Privacy adalah salah satu contohnya dimana Apple menggunakan machine learning untuk dapat menganalisa setiap objek dalam foto yang tersimpan tanpa harus mengetahui data-data yang tersimpan di dalamnya.
Faktor lain terkait keamanan adalah Apple dapat dengan mudah mengeluarkan update untuk menutup celah keamanan bagi semua perangkatnya secara bersamaan. Bahkan bagi perangkat yang tidak lagi mendukung versi software terbaru. Berbeda dengan Android dimana setiap update yang dikeluarkan oleh Google tidak bisa langsung diinstall melainkan harus melalui vendor terkait terlebih dahulu (Samsung, Lenovo, dll)
Leave a Reply