Articles

Superfish

Superfish è stata fondata nel 2006 da Adi Pinhas e Michael Chertok. Pinhas si è laureato all’Università di Tel Aviv. Nel 1999, ha co-fondato Vigilant Technology, che “ha inventato la registrazione video digitale per il mercato della sorveglianza”, secondo il suo profilo LinkedIn. Prima di allora, ha lavorato a Verint, una società di intelligence che ha analizzato i segnali telefonici e aveva presumibilmente sfruttato le linee di comunicazione di Verizon. Chertok è un laureato di Technion e Bar-Ilan University con 10 anni di esperienza in “sistemi di data mining in tempo reale su larga scala.”

Fin dalla sua fondazione, Superfish ha utilizzato un team di” una dozzina di dottori di ricerca ” principalmente per sviluppare algoritmi per il confronto e la corrispondenza delle immagini. Ha rilasciato il suo primo prodotto, WindowShopper, nel 2011. WindowShopper immediatamente richiesto un gran numero di reclami su bacheche Internet, da parte di utenti che non sapevano come il software era stato installato sulle loro macchine.

Superfish inizialmente ha ricevuto finanziamenti da Draper Fisher Jurvetson, e fino ad oggi ha raccolto oltre million 20 milioni, per lo più da DFJ e Vintage Investment Partners. Forbes ha elencato l’azienda come numero 64 nella loro lista delle aziende più promettenti d’America.

Pinhas nel 2014 ha dichiarato che ” Visual search non è qui per sostituire la tastiera … la ricerca visiva è per i casi in cui non ho parole per descrivere ciò che vedo.”

A partire dal 2014, i prodotti Superfish avevano oltre 80 milioni di utenti.

Nel maggio 2015, a seguito dell’incidente di sicurezza Lenovo (vedi sotto) e per prendere le distanze dal fallout, il team di Superfish ha cambiato nome e spostato le sue attività in JustVisual.com.

Lenovo security incidentEdit

Gli utenti avevano espresso preoccupazioni circa le scansioni del traffico web crittografato SSL dal software Superfish Visual Search preinstallato sulle macchine Lenovo almeno dall’inizio di dicembre 2014. Questo è diventato un importante problema pubblico, tuttavia, solo nel febbraio 2015. L’installazione includeva un’autorità di certificazione universale autofirmata; l’autorità di certificazione consente a un attacco man-in-the-middle di introdurre annunci anche su pagine crittografate. L’autorità di certificazione aveva la stessa chiave privata tra i laptop; ciò consente agli intercettatori di terze parti di intercettare o modificare le comunicazioni sicure HTTPS senza attivare avvisi del browser estraendo la chiave privata o utilizzando un certificato autofirmato.Il 20 febbraio 2015, Microsoft ha rilasciato un aggiornamento per Windows Defender che rimuove Superfish. In un articolo su Slate tech scrittore David Auerbach paragona l’incidente allo scandalo Sony DRM rootkit e ha detto delle azioni di Lenovo, “l’installazione di Superfish è uno degli errori più irresponsabili una società di tecnologia consolidata ha mai fatto.”Il 24 febbraio 2015, Heise Security ha pubblicato un articolo che rivela che il certificato in questione sarebbe stato diffuso anche da una serie di applicazioni di altre società, tra cui SAY Media e Lavasoft Ad-Aware Web Companion.

Le critiche al software Superfish precedevano l ‘”incidente Lenovo” e non erano limitate alla comunità di utenti Lenovo: già nel 2010, gli utenti di computer di altri produttori avevano espresso preoccupazioni nel supporto online e forum di discussione che il software Superfish era stato installato sui loro computer a loro insaputa, essendo in bundle con altri software.

Il CEO Pinhas, in una dichiarazione sollecitata dalle divulgazioni di Lenovo, ha sostenuto che la falla di sicurezza introdotta da Superfish software non era, direttamente, attribuibile al proprio codice; piuttosto, “sembra che il componente aggiuntivo di terze parti abbia introdotto una potenziale vulnerabilità di cui non sapevamo nulla” nel prodotto. Ha identificato la fonte del problema come codice creato dalla società tecnologica Komodia, che si occupa, tra le altre cose, dei certificati di sicurezza del sito web. Codice Komodia è presente anche in altre applicazioni, tra i quali, software di controllo parentale; e gli esperti hanno detto “lo strumento Komodia potrebbe mettere in pericolo qualsiasi azienda o programma utilizzando lo stesso codice .”In effetti, Komodia si riferisce al suo software di decrittografia e intercettazione HTTPS come “dirottatore SSL”, e lo fa almeno da gennaio 2011. Il suo utilizzo da parte di oltre 100 clienti aziendali può compromettere ” i dati sensibili non solo dei clienti Lenovo, ma anche una base molto più ampia di utenti di PC.”Komodia è stato chiuso nel 2018.