Superfish
Superfish wurde 2006 von Adi Pinhas und Michael Chertok gegründet. Pinhas ist Absolvent der Universität Tel Aviv. 1999 war er Mitbegründer von Vigilant Technology, das laut seinem LinkedIn-Profil „die digitale Videoaufzeichnung für den Überwachungsmarkt erfunden hat“. Zuvor arbeitete er bei Verint, einem Geheimdienstunternehmen, das Telefonsignale analysierte und angeblich Verizon-Kommunikationsleitungen angezapft hatte. Chertok ist Absolvent der Technion und Bar-Ilan University mit 10 Jahren Erfahrung in „großen Echtzeit-Data-Mining-Systemen.“
Seit seiner Gründung hat Superfish ein Team von „etwa einem Dutzend Doktoranden“ eingesetzt, um Algorithmen für den Vergleich und Abgleich von Bildern zu entwickeln. Es veröffentlichte sein erstes Produkt, WindowShopper, im Jahr 2011. WindowShopper veranlasste sofort eine große Anzahl von Beschwerden in Internet-Message-Boards von Benutzern, die nicht wussten, wie die Software auf ihren Computern installiert worden war.Superfish erhielt ursprünglich eine Finanzierung von Draper Fisher Jurvetson und hat bis heute über 20 Millionen US-Dollar gesammelt, hauptsächlich von DFJ und Vintage Investment Partners. Forbes notierte das Unternehmen als Nummer 64 auf ihrer Liste der vielversprechendsten Unternehmen Amerikas.
Pinhas erklärte 2014, dass „Visual Search nicht hier ist, um die Tastatur zu ersetzen … visuelle Suche ist für die Fälle, in denen ich keine Worte habe, um zu beschreiben, was ich sehe.“
Ab 2014 hatten Superfish-Produkte über 80 Millionen Nutzer.
Im Mai 2015 änderte das Team hinter Superfish nach dem Lenovo-Sicherheitsvorfall (siehe unten) und um sich vom Fallout zu distanzieren, seinen Namen und verlagerte seine Aktivitäten auf JustVisual.com.
Lenovo Security incidentEdit
Benutzer hatten Bedenken über Scans von SSL-verschlüsseltem Webverkehr durch die visuelle Suchsoftware Superfish geäußert, die seit mindestens Anfang Dezember 2014 auf Lenovo-Computern vorinstalliert ist. Dies wurde jedoch erst im Februar 2015 zu einem wichtigen öffentlichen Thema. Die Installation beinhaltete eine universelle selbstsignierte Zertifizierungsstelle; Die Zertifizierungsstelle ermöglicht es einem Man-in-the-Middle-Angriff, Anzeigen auch auf verschlüsselten Seiten einzuführen. Die Zertifizierungsstelle hatte auf allen Laptops denselben privaten Schlüssel; auf diese Weise können Lauscher von Drittanbietern die sichere HTTPS-Kommunikation abfangen oder ändern, ohne Browserwarnungen auszulösen, indem sie entweder den privaten Schlüssel extrahieren oder ein selbstsigniertes Zertifikat verwenden.Am 20. Februar 2015 veröffentlichte Microsoft ein Update für Windows Defender, das Superfish entfernt. In einem Artikel in Slate vergleicht Tech-Autor David Auerbach den Vorfall mit dem Sony DRM-Rootkit-Skandal und sagte über Lenovos Aktionen: „Die Installation von Superfish ist einer der unverantwortlichsten Fehler, die ein etabliertes Technologieunternehmen jemals gemacht hat.“ Am 24. Februar 2015 veröffentlichte Heise Security einen Artikel, der enthüllte, dass das fragliche Zertifikat auch von einer Reihe von Anwendungen anderer Unternehmen verbreitet werden würde, darunter SAY Media und Lavasofts Ad-Aware Web Companion.
Die Kritik an der Superfish-Software ging auf den „Lenovo-Vorfall“ zurück und beschränkte sich nicht nur auf die Lenovo-Benutzergemeinschaft: bereits 2010 hatten Nutzer von Computern anderer Hersteller in Online-Support- und Diskussionsforen Bedenken geäußert, dass die Superfish-Software ohne ihr Wissen auf ihren Computern installiert wurde, indem sie mit anderer Software gebündelt wurde.CEO Pinhas behauptete in einer Erklärung, die durch die Lenovo-Enthüllungen ausgelöst wurde, dass die von Superfish Software eingeführte Sicherheitslücke nicht direkt auf den eigenen Code zurückzuführen sei; Vielmehr „scheint es, dass das Add-On von Drittanbietern eine potenzielle Sicherheitsanfälligkeit eingeführt hat, von der wir nichts wussten“ in das Produkt. Er identifizierte die Ursache des Problems als Code des Technologieunternehmens Komodia, das sich unter anderem mit Website-Sicherheitszertifikaten befasst. Komodia-Code ist auch in anderen Anwendungen vorhanden, darunter Kindersicherungssoftware; und Experten haben gesagt: „Das Komodia-Tool könnte jedes Unternehmen oder Programm gefährden, das denselben Code verwendet . Tatsächlich bezeichnet Komodia selbst seine HTTPS-Entschlüsselungs- und Abfangsoftware als „SSL-Hijacker“und tut dies seit mindestens Januar 2011. Die Verwendung durch mehr als 100 Firmenkunden kann „die sensiblen Daten nicht nur von Lenovo-Kunden, sondern auch einer viel größeren Basis von PC-Benutzern gefährden.“ Komodia wurde 2018 geschlossen.