Superfish
Superfish fue fundada en 2006 por Adi Pinhas y Michael Chertok. Pinhas se graduó de la Universidad de Tel Aviv. En 1999, cofundó Vigilant Technology, que «inventó la grabación de video digital para el mercado de la vigilancia», según su perfil de LinkedIn. Antes de eso, trabajó en Verint, una compañía de inteligencia que analizaba señales telefónicas y supuestamente había intervenido las líneas de comunicación de Verizon. Chertok se graduó de la Universidad Technion y Bar-Ilan con 10 años de experiencia en «sistemas de minería de datos en tiempo real a gran escala».
Desde su fundación, Superfish ha utilizado un equipo de» una docena de doctores » principalmente para desarrollar algoritmos para la comparación y coincidencia de imágenes. Lanzó su primer producto, WindowShopper, en 2011. WindowShopper provocó de inmediato un gran número de quejas en los tableros de mensajes de Internet, de usuarios que no sabían cómo se había instalado el software en sus máquinas.
Superfish inicialmente recibió fondos de Draper Fisher Jurvetson, y hasta la fecha ha recaudado más de $20 millones, en su mayoría de DFJ y Vintage Investment Partners. Forbes incluyó a la compañía en el número 64 en su lista de las compañías más prometedoras de Estados Unidos.
Pinhas en 2014 declaró que » La búsqueda visual no está aquí para reemplazar el teclado … la búsqueda visual es para los casos en los que no tengo palabras para describir lo que veo.»
A partir de 2014, los productos Superfish tenían más de 80 millones de usuarios.
En mayo de 2015, tras el incidente de seguridad de Lenovo (ver más abajo) y para distanciarse de las consecuencias, el equipo detrás de Superfish cambió su nombre y trasladó sus actividades a JustVisual.com.
Incidente de seguridad de lenovoedItar
Los usuarios habían expresado su preocupación por los escaneos del tráfico web encriptado SSL por el software de búsqueda visual Superfish preinstalado en las máquinas Lenovo desde al menos principios de diciembre de 2014. Esto se convirtió en un tema público importante, sin embargo, solo en febrero de 2015. La instalación incluía una autoridad de certificación universal autofirmada; la autoridad de certificación permite que un ataque man-in-the-middle introduzca anuncios incluso en páginas cifradas. La autoridad de certificación tenía la misma clave privada en todos los portátiles; esto permite a los espías de terceros interceptar o modificar comunicaciones seguras HTTPS sin activar advertencias del navegador, ya sea extrayendo la clave privada o utilizando un certificado autofirmado.El 20 de febrero de 2015, Microsoft lanzó una actualización para Windows Defender que elimina Superfish. En un artículo del escritor de Slate tech, David Auerbach, compara el incidente con el escándalo del rootkit DRM de Sony y dijo sobre las acciones de Lenovo: «instalar Superfish es uno de los errores más irresponsables que una empresa de tecnología establecida ha cometido.»El 24 de febrero de 2015, Heise Security publicó un artículo que revelaba que el certificado en cuestión también se difundiría por una serie de aplicaciones de otras empresas, incluidas SAY Media y el Compañero Web con publicidad de Lavasoft.
Las críticas al software Superfish eran anteriores al «incidente de Lenovo» y no se limitaban a la comunidad de usuarios de Lenovo: ya en 2010, los usuarios de computadoras de otros fabricantes habían expresado su preocupación en el soporte en línea y en foros de discusión de que el software Superfish se había instalado en sus computadoras sin su conocimiento, al estar incluido con otro software.
El CEO Pinhas, en una declaración motivada por las revelaciones de Lenovo, sostuvo que el defecto de seguridad introducido por el software Superfish no era, directamente, atribuible a su propio código; más bien, «parece que el complemento de terceros introdujo una vulnerabilidad potencial que desconocíamos» en el producto. Identificó la fuente del problema como el código escrito por la empresa tecnológica Komodia, que se ocupa, entre otras cosas, de los certificados de seguridad de sitios web. El código Komodia también está presente en otras aplicaciones, entre ellas, el software de control parental; y los expertos han dicho que «la herramienta Komodia podría poner en peligro a cualquier empresa o programa que use el mismo código .»De hecho, Komodia se refiere a su software de descifrado e interceptación HTTPS como un «secuestrador SSL», y lo ha estado haciendo desde al menos enero de 2011. Su uso por más de 100 clientes corporativos puede poner en peligro «los datos confidenciales no solo de los clientes de Lenovo, sino también de una base mucho mayor de usuarios de PC.»Komodia cerró en 2018.