Superfish
Superfish blev grundlagt i 2006 af Adi Pinhas og Michael Chertok. Pinhas er uddannet fra Tel Aviv Universitet. I 1999 var han medstifter af Vigilant Technology, som “opfandt digital videooptagelse til overvågningsmarkedet” ifølge hans LinkedIn-profil. Før det arbejdede han hos Verint, et efterretningsfirma, der analyserede telefonsignaler og angiveligt havde tappet Verisons kommunikationslinjer. Chertok er kandidat fra Technion og Bar-Ilan University med 10 års erfaring i “storskala data mining-systemer i realtid.Siden grundlæggelsen har Superfish brugt et team af “et dusin ph.D. ‘er” primært til at udvikle algoritmer til sammenligning og matchning af billeder. Det udgav sit første produkt, Vindueshopper, i 2011. Vindueshopper fik straks et stort antal klager på Internet message boards, fra brugere, der ikke vidste, hvordan programmet var blevet installeret på deres maskiner.Superfish modtog oprindeligt finansiering fra Draper Fisher Jurvetson, og til dato har rejst over $20 millioner, hovedsagelig fra DFJ og Vintage Investment Partners. Forbes opførte virksomheden som nummer 64 på deres liste over Amerikas mest lovende virksomheder.
Pinhas i 2014 erklærede ,at ” visuel søgning ikke er her for at erstatte tastaturet … visuel søgning er for de tilfælde, hvor jeg ikke har ord til at beskrive, hvad jeg ser.”
fra 2014 havde Superfish products over 80 millioner brugere.
i maj 2015, efter Lenovo-sikkerhedshændelsen (se nedenfor) og for at distancere sig fra nedfaldet, skiftede holdet bag Superfish navn og flyttede sine aktiviteter til JustVisual.com.
Lenovo security incidentEdit
brugere havde udtrykt bekymring over scanninger af SSL-krypteret internettrafik af Superfish Visual Search-programmer, der var forudinstalleret på Lenovo-maskiner siden mindst begyndelsen af December 2014. Dette blev dog et stort offentligt spørgsmål først i Februar 2015. Installationen omfattede en universel selvsigneret certifikatmyndighed; certifikatmyndigheden tillader et Man-in-the-middle-angreb at introducere annoncer, selv på krypterede sider. Certifikatmyndigheden havde den samme private nøgle på tværs af bærbare computere; dette gør det muligt for tredjeparts aflyttere at opfange eller ændre HTTPS-sikker kommunikation uden at udløse bro.seradvarsler ved enten at udtrække den private nøgle eller bruge et selvsigneret certifikat.Den 20. februar 2015 udgav Microsoft en opdatering til vinduer Defender som fjerner Superfish. I en artikel i Slate tech-forfatter David Auerbach sammenligner hændelsen med Sony DRM rootkit-skandalen og sagde om Lenovos handlinger, “installation af Superfish er en af de mest uansvarlige fejl, en etableret teknologivirksomhed nogensinde har begået.”Den 24. februar 2015 offentliggjorde Heise Security en artikel, der afslørede, at det pågældende certifikat også ville blive spredt af en række ansøgninger fra andre virksomheder, herunder SAY Media og Lavasofts Annoncebevidste ledsager.
kritik af Superfish-programmet forud for “Lenovo-hændelsen” og var ikke begrænset til Lenovo-brugerfællesskabet: allerede i 2010 havde brugere af computere fra andre producenter udtrykt bekymring i online support og diskussionsfora om, at Superfish-programmer var blevet installeret på deres computere uden deres viden ved at blive samlet med andre programmer.CEO Pinhas fastholdt i en erklæring, der blev bedt om af Lenovo-afsløringerne, at den sikkerhedsfejl, der blev indført af Superfish-programmet, ikke direkte kunne henføres til sin egen kode; snarere “det ser ud til, at tredjeparts add-on introducerede en potentiel sårbarhed, som vi ikke vidste om” i produktet. Han identificerede kilden til problemet som kode, der er skrevet af teknologiselskabet Komodia, der blandt andet beskæftiger sig med sikkerhedscertifikater på hjemmesiden. Komodia-kode er også til stede i andre applikationer, blandt dem forældrekontrolprogrammer; og eksperter har sagt “Komodia-værktøjet kan bringe ethvert firma eller program i fare ved hjælp af den samme kode .”Faktisk henviser Komodia selv til sit HTTPS-dekrypterings-og aflytningsprogram som en “SSL-flykaprer” og har gjort det siden mindst januar 2011. Dens brug af mere end 100 erhvervskunder kan bringe “de følsomme data fra ikke kun Lenovo-kunder, men også en meget større base af PC-brugere i fare.”Komodia blev lukket i 2018.