Google Bayar Rp 156 Miliar untuk Penemu "Bug"

Pada tahun 2023 lalu, Google tercatat telah memberikan hadiah total uang sebesar 10 juta dollar AS (sekitar Rp 156 miliar) untuk 632 penemu bug di ekosistemnya itu.

Angka ini menurun dibandingkan hadiah 12 juta dollar AS (setara Rp 188,4 miliar) yang diberikan pada tahun 2022. Meskipun begitu, angka ini tetap signifikan dan menunjukkan keterlibatan komunitas pengguna untuk upaya keamanan Google.

Sebagai perbandingan, Microsoft lewat program yang serupa telah memberikan imbalan sebesar 13,8 juta dollar AS (kira-kira Rp 216,6 miliar) untuk 345 peneliti, dari 1 Juli 2022 hingga 30 Juni 2023.

Sementara hadiah terbesar yang diberikan Google untuk pemburu bug pada 2023 lalu mencapai 113.337 dollar AS atau sekitar Rp 1,7 miliar. Tidak dirincikan program apa yang memberikan hadiah itu dan siapa yang menerimanya.

Salah satu program dengan hadiah yang tinggi dalam VRP ini adalah untuk sistem operasi (OS) Android. Program ini memberikan hadiah sebesar 3,4 juta dollar AS (sekitar Rp 53,4 miliar), untuk peneliti yang menemukan kerentanan di perangkat berbasis Android.

"VRP Android meraih pencapaian yang signifikan pada 2023, yang mencerminkan dedikasi kami dalam mengamankan ekosistem Android," tulis Sarah Jacobus selaku Vulnerability Rewards Team dalam situs Google Security Blog.

Google juga tahun lalu meningkatkan hadiah maksimum untuk penemuan celah keamanan kritis di Android menjadi 15.000 dollar AS (setara Rp 235,5 juta), kemudian meluncurkan VRP Mobile yang berfokus pada aplikasi first-party di Android.

Berikutnya, Google menambahkan kategori sistem operasi WearOS untuk program penemuan bug-nya itu, guna mendorong pengguna mencari celah kerusakan di arloji pintar (smartwatch) dan perangkat wearable berbasis Android lainnya.

Alhasil, dalam sebuah pekan retas (hackathon) untuk WearOS dan Android Automotive OS, Google memberikan sebanyak 70.000 dollar AS (kira-kira Rp 1 miliar) untuk pengguna, yang secara keseluruhan menemukan lebih dari 20 celah keamanan kritis.

Selain aplikasi first-party Android dan WearOS, Google memperkenalkan kategori kecerdasan buatan (artificial intelligence/AI), untuk berbagai produk AI generatifnya seperti Google Bard.

Totalnya terdapat 35 laporan bug, dengan hadiah mencapai 87.000 dollar AS (sekitar Rp 1,3 miliar).

Perusahaan yang bermarkas di California, Amerika Serikat itu pun turut menghadirkan program Bonus Awards terbaru, yang secara berkala memberikan hadiah tambahan berbatas waktu, untuk target kerentanan yang ditentukan Google.

Salah satu poin yang disorot Google adalah kehadiran versi baru Chrome Milestones 116 (M116) yang membawa teknologi MiraclePtr. Teknologi ini berfungsi mencegah eksploitasi kerentanan Use-After-Free (UAF).

UAF itu sendiri adalah kerentanan yang berhubungan dengan penggunaan memori dinamis yang salah ketika mengoperasikan program. Pada akhirnya, penyerang bisa memanfaatkan kesalahan tersebut untuk meretas program.

Kehadiran MiraclePtr berujung pada berkurangnya laporan kerentanan diiringi dengan pemberian hadiah yang lebih sedikit.

Kendati demikian, program VRP Chrome juga menambahkan hadiah MiraclePtr Bypass, yang memberikan imbalan hingga 100.115 dollar AS (kira-kira Rp 1,5 miliar), untuk mendorong peneliti mencari cara meretas fitur ini.

Terdapat juga Full Chain Exploit Bonus, yang memberikan tiga kali lipat jumlah hadiah untuk laporan eksploitasi rantai penuh Chrome yang pertama, dan dua kali lipat jumlah hadiah untuk laporan berikutnya.

Full Chain Exploit mencakup sejumlah serangan yang digabung alias "dirantai" (chained) untuk sepenuhnya menyusupi sebuah perangkat.

Tidak membuat software lebih aman

Katie Moussouris selaku pendiri perusahaan keamanan Luta Security, mengatakan bahwa program "berburu" bug yang ditawarkan Google dan Microsoft tidak membuat software makin aman.

Sosok yang membujuk kantor Microsoft Redmond dan Departemen Pertahanan Amerika Serikat (Pentagon) untuk ikut membuat program pencarian bug, menjelaskan bahwa hal itu disebabkan karena perubahan strategi perusahaan.

Alih-alih mengembangkan software yang benar-benar aman, berbagai perusahaan berinvestasi untuk membuat program berburu bug dan memberikan hadiah uang bagi yang menemukannya.

"Kedua hal itu sama-sama merupakan investasi. Akan tetapi, perusahaan juga harus berupaya untuk memperbaiki kerentanan," kata Moussouris sebagaimana dikutip KompasTekno dari The Register, Selasa (19/3/2024).

"Jadi, filosofi saya selalu seperti ini, Anda harus mencoba dan mencegah bug sebanyak yang Anda bisa, kemudian mencegah dan memperbaiki sebanyak-banyaknya bug. Setelah itu barulah Anda bisa membuka program berburu bug," pungkasnya.