Superfish
Superfish została założona w 2006 roku przez Adi Pinhasa i Michaela Chertoka. Pinhas jest absolwentem Uniwersytetu w Tel Awiwie. W 1999 roku był współzałożycielem Vigilant Technology, który według profilu na LinkedIn „wynalazł Cyfrowe Nagrywanie wideo na rynek nadzoru”. Wcześniej pracował w Verint, firmie wywiadowczej, która analizowała sygnały telefoniczne i rzekomo podsłuchiwała linie komunikacyjne Verizon. Chertok jest absolwentem Technion i Bar-Ilan University z 10-letnim doświadczeniem w ” wielkoskalowych systemach eksploracji danych w czasie rzeczywistym.”
od momentu powstania Superfish wykorzystywał zespół” kilkunastu doktorów ” przede wszystkim do opracowania algorytmów porównywania i dopasowywania obrazów. W 2011 roku wydała swój pierwszy produkt, WindowShopper. WindowShopper natychmiast wywołał dużą liczbę skarg na forach internetowych, od użytkowników, którzy nie wiedzieli, jak oprogramowanie zostało zainstalowane na ich maszynach.
Superfish początkowo otrzymał finansowanie od Draper Fisher Jurvetson, a do tej pory zebrał ponad 20 milionów dolarów, głównie od DFJ i Vintage Investment Partners. Forbes umieścił firmę na 64. miejscu na liście najbardziej obiecujących firm w Ameryce.
Pinhas w 2014 stwierdził, że „wyszukiwanie wizualne nie jest tutaj, aby zastąpić klawiaturę … wyszukiwanie wizualne jest dla przypadków, w których nie mam słów, aby opisać to, co widzę.”
od 2014 roku produkty Superfish miały ponad 80 milionów użytkowników.
w maju 2015 roku, po incydencie bezpieczeństwa Lenovo (patrz poniżej) i aby zdystansować się od Fallouta, zespół odpowiedzialny za Superfish zmienił nazwę i przeniósł swoją działalność do JustVisual.com.
Lenovo security incidentEdit
użytkownicy wyrazili obawy dotyczące skanowania szyfrowanego SSL ruchu internetowego przez oprogramowanie Superfish Visual Search preinstalowane na maszynach Lenovo co najmniej od początku grudnia 2014 roku. Stało się to poważnym problemem publicznym, jednak dopiero w lutym 2015 roku. Instalacja zawierała uniwersalny samoczynnie podpisany urząd certyfikacji; urząd certyfikacji umożliwia atak typu „man-in-the-middle” w celu wprowadzenia reklam nawet na zaszyfrowanych stronach. Urząd certyfikacji miał ten sam klucz prywatny w laptopach; dzięki temu osoby podsłuchujące mogą przechwytywać lub modyfikować bezpieczną komunikację HTTPS bez wywoływania ostrzeżeń przeglądarki poprzez wyodrębnienie klucza prywatnego lub użycie podpisanego samodzielnie certyfikatu.W lutym 20, 2015, Microsoft wydał aktualizację dla Windows Defender, który usuwa Superfish. W artykule w Slate Tech pisarz David Auerbach porównuje incydent do skandalu Sony DRM rootkit i powiedział o działaniach Lenovo: „instalowanie Superfish jest jednym z najbardziej nieodpowiedzialnych błędów ustalonej firmy technologicznej kiedykolwiek popełnił.”W lutym 24, 2015, Heise Security opublikował artykuł ujawniający, że dany certyfikat będzie również rozpowszechniany przez wiele aplikacji od innych firm, w tym SAY Media i Lavasoft Ad-Aware Web Companion.
krytyka oprogramowania Superfish poprzedzała „incydent Lenovo” i nie ograniczała się do społeczności użytkowników Lenovo: już w 2010 r. użytkownicy komputerów innych producentów wyrazili obawy na internetowych forach wsparcia i dyskusji, że oprogramowanie Superfish zostało zainstalowane na ich komputerach bez ich wiedzy, poprzez dołączenie do innego oprogramowania.
CEO Pinhas, w oświadczeniu spowodowanym ujawnieniami Lenovo, utrzymywał, że luka bezpieczeństwa wprowadzona przez oprogramowanie Superfish nie była bezpośrednio przypisana do jego własnego kodu; raczej „wydaje się, że dodatek innej firmy wprowadził potencjalną lukę, o której nie wiedzieliśmy” do produktu. Źródło problemu zidentyfikował jako Kod firmy technologicznej Komodia, która zajmuje się m.in. certyfikatami bezpieczeństwa stron internetowych. Kod komodii jest również obecny w innych aplikacjach, między innymi w oprogramowaniu do kontroli rodzicielskiej; a eksperci powiedzieli: „narzędzie Komodia może zagrozić każdej firmie lub programowi używającemu tego samego kodu .”W rzeczywistości sama Komodia odnosi się do swojego oprogramowania do odszyfrowywania i przechwytywania HTTPS jako „porywacza SSL” i robi to od co najmniej stycznia 2011 roku. Jego wykorzystanie przez ponad 100 klientów korporacyjnych może zagrozić ” wrażliwym danym nie tylko klientów Lenovo, ale także znacznie większej bazy użytkowników komputerów PC.”Komodia została zamknięta w 2018 roku.