Cyberthreat.id – Jangan dikira sebagai salah satu perusahaan teknologi terkemuka di jagat raya ini, Apple memperhatikan para peneliti keamanan siber yang fokus mencari kerentanan—biasa disebut bug hunter—pada sistem operasi dan aplikasinya.

Cerita ini dialami oleh Denis Tokarev, seorang pengembang perangka lunak. Denis memprotes sikap Apple yang abai tentang laporannya. Ia mengeluhkan dalam emailnya kepada tim keamanan Apple mengapa perusahaan tak menyebutkan namanya dalam pembaruan keamanan sebagai penemu kerentanan.

Apple baru-baru ini telah memperbaiki kerentanan zero-day dengan merilis iOS 15.0.2. Disebut zero-day karena kerentanan ini baru pertama kali ditemukan, artinya Apple sendiri belum mengetahui dan menambalnya.

Tokarev sendiri telah melaporkan temuan yang ditambal pada iOS 15.0.2 pada tujuh bulan lalu. Namun, pada Senin lalu, dengan entengnya Apple tak memberikan kredit temuan itu atas namanya. Padahal, menurut Tokarev, kerentanan itu bisa mengungkap akses kepada informasi pribadi pengguna.

Sebelumnya, Tokarev juga mengalami hal serupa. Juli lalu, ketika Apple menutup zero-day dengan merilis iOS 14.7, namanya juga tak disebutkan dalam nasihat keamanan. Apple, katanya, berjanji akan menyebutkan dalam rilis pembaruan keamanan berikutnya.

"Karena masalah pemrosesan, kredit Anda akan disertakan pada nasihat keamanan dalam pembaruan yang akan datang. Kami mohon maaf atas ketidaknyamanan ini," kata Apple ketika ditanya mengapa daftar bug keamanan iOS yang diperbaiki tidak termasuk temuan zero-day-nya, dikutip dari BleepingComputer, diakses Kamis (14 Oktober 2021O).

Namun, sejak saat itu, Apple telah menerbitkan beberapa pembaruan keamanan, seperti iOS 14.7.1, iOS 14.8, iOS 15.0, dan iOS 15.0.1—sama sekali tak ada nama Tokarev di situ sebagai salah satu penemu kerentanan zero-day.

Setelah Apple merilis iOS terbaru, yaitu versi 15.0.2, lagi-lagi Tokarev mengirim email ke Apple mempertanyakan kredit namanya.

Alih-alih mendapatkan jawaban yang pasti, justru Apple menjawab agar dirinya memperlakukan percakapan di email sebagai rahasia.

Ini bukan pertama kalinya tim keamanan Apple meminta kerahasiaan.  Sebelumnya, pada Agustus lalu ia jugaa diberi tahu bahwa zero-day temuannya akan diperbaiki dalam pembaruan keamanan di masa mendatang dan didesak untuk tidak mengungkapkan bug tersebut secara publik.

Total, Tokarev menemukan empat zero-day iOS dan melaporkannya ke Apple antara 10 Maret hingga 4 Mei 2021. Pada bulan lalu, kesal dengan respons Apple, ia lalu menerbitkan bukti konsep (PoC) kode exploit dan detail tentang semua kerentanan iOS di blog pribadinya.

Jika berhasil mengeksploitasi empat kerentanan pada perangkat iOS yang belum ditambal itu (iPhone dan iPad), peretas dapat memperoleh akses dan memanen email ID Apple, nama lengkap, token otentikasi ID Apple, info aplikasi yang diinstal, info wifi, dan log analitik (termasuk informasi medis dan perangkat).

"Kami melihat unggahan blog Anda mengenai masalah ini dan laporan Anda yang lain. Kami mohon maaf atas keterlambatan dalam menanggapi Anda," kata Apple kepada Tokarev 24 jam setelah menerbitkan zero-day dan kode eksploitasi di blognya.

"Kami ingin memberi tahu Anda bahwa kami masih menyelidiki masalah ini dan bagaimana kami dapat mengatasinya untuk melindungi pelanggan. Sekali lagi terima kasih telah meluangkan waktu untuk melaporkan masalah ini kepada kami, kami menghargai bantuan Anda," Apple menambahkan.

Pemburu bug berhadiah dan peneliti keamanan lainnya, menurut BleepingComputer, juga memiliki pengalaman serupa saat melaporkan kerentanan kepada tim keamanan produk Apple melalui program Apple Security Bounty.

Beberapa peneliti mengatakan bug yang dilaporkan ke Apple diperbaiki secara diam-diam dan lagi-lagi perusahaan gagal memberi kredit kepada penemunya.

Bahkan, yang lebih parah lagi, Apple juga tak membayar hasil jerih payah bug hunter atau mereka belum menerima pembayaran sama sekali dalam keikutasertaan sayembara resmi Apple. Sementara cerita bug hunter lain selama berbulan-bulan tanpa balasan apa pun dari Apple.[]