Superfish
Superfish grundades 2006 av Adi Pinhas och Michael Chertok. Pinhas är examen från Tel Aviv University. 1999 grundade han Vigilant Technology, som ”uppfann digital videoinspelning för övervakningsmarknaden”, enligt hans LinkedIn-profil. Innan dess arbetade han på Verint, ett intelligensföretag som analyserade telefonsignaler och påstås ha tappat Verizon-kommunikationslinjer. Chertok är examen från Technion och Bar-Ilan University med 10 års erfarenhet av ”storskaliga datautvinningssystem i realtid.”
Sedan starten har Superfish använt ett team av ”ett dussin eller så doktorander” främst för att utveckla algoritmer för jämförelse och matchning av bilder. Den släppte sin första produkt, WindowShopper, 2011. WindowShopper fick omedelbart ett stort antal klagomål på Internet-anslagstavlor, från användare som inte visste hur programvaran hade installerats på sina maskiner.
Superfish fick initialt finansiering från Draper Fisher Jurvetson och har hittills samlat in över 20 miljoner dollar, mestadels från DFJ och Vintage Investment Partners. Forbes noterade företaget som nummer 64 på sin lista över Amerikas mest lovande företag.
Pinhas i 2014 uppgav att ” visuell sökning är inte här för att ersätta tangentbordet … visuell sökning är för de fall där jag inte har några ord för att beskriva vad jag ser.”
Från och med 2014 hade Superfish-produkter över 80 miljoner användare.
i maj 2015, efter Lenovos säkerhetsincident (se nedan) och för att distansera sig från Nedfallet, bytte teamet bakom Superfish sitt namn och flyttade sin verksamhet till JustVisual.com.
Lenovo security incidentEdit
användare hade uttryckt oro över skanningar av SSL-krypterad webbtrafik av Superfish Visual Search-programvara förinstallerad på Lenovo-maskiner sedan åtminstone början av December 2014. Detta blev dock en stor offentlig fråga först i februari 2015. Installationen inkluderade en universell självsignerad certifikatmyndighet; certifikatmyndigheten tillåter en man-in-the-middle-attack att introducera annonser även på krypterade sidor. Certifikatmyndigheten hade samma privata nyckel över bärbara datorer; detta gör det möjligt för tjuvlyssnare från tredje part att avlyssna eller ändra HTTPS säker kommunikation utan att utlösa webbläsarvarningar genom att antingen extrahera den privata nyckeln eller använda ett självsignerat certifikat.Den 20 februari 2015 släppte Microsoft en uppdatering för Windows Defender som tar bort Superfish. I en artikel i Slate tech-författaren David Auerbach jämför händelsen med Sony DRM rootkit-skandalen och sa om Lenovos handlingar: ”att installera Superfish är ett av de mest oansvariga misstag som ett etablerat teknikföretag någonsin har gjort.”Den 24 februari 2015 publicerade Heise Security en artikel som avslöjade att certifikatet i fråga också skulle spridas av ett antal applikationer från andra företag, inklusive SAY Media och Lavasofts Ad-Aware Web Companion.
kritik av Superfish-programvaran föregick ”Lenovo-incidenten” och var inte begränsad till Lenovos användargemenskap: redan 2010 hade användare av datorer från andra tillverkare uttryckt oro i online support och diskussionsforum att Superfish-programvaran hade installerats på sina datorer utan deras vetskap, genom att buntas med annan programvara.
VD Pinhas, i ett uttalande som föranleddes av Lenovo-avslöjandena, hävdade att säkerhetsfel som infördes av Superfish software inte direkt kunde hänföras till sin egen kod; snarare ”det verkar som om tillägg från tredje part införde en potentiell sårbarhet som vi inte visste om” i produkten. Han identifierade källan till problemet som kod författad av teknikföretaget Komodia, som bland annat handlar om webbplatssäkerhetscertifikat. Komodia-koden finns också i andra applikationer, bland dem föräldrakontrollprogramvara; och experter har sagt ”Komodia-verktyget kan äventyra alla företag eller program som använder samma kod .”Faktum är att Komodia själv hänvisar till sin HTTPS-dekrypterings-och avlyssningsprogramvara som en ”SSL-kapare” och har gjort det sedan åtminstone januari 2011. Dess användning av mer än 100 företagskunder kan äventyra ”känsliga data för inte bara Lenovo-kunder utan också en mycket större bas av PC-användare.”Komodia stängdes 2018.