Superpez

Empresa de publicidad

Superfish fue una empresa de publicidad que desarrolló varios productos de software respaldados por publicidad basados ​​en un motor de búsqueda visual . La empresa tenía su sede en Palo Alto, California . ^[1] Fue fundada en Israel en 2006 ^[2] y ha sido considerada como parte del grupo de empresas de adware " Download Valley " del país. ^[3] El software de Superfish es malware y adware . ^{[4] [5] [6] [7] [8]} El software se incluyó con varias aplicaciones ya en 2010, y Lenovo comenzó a incluir el software en algunos de sus equipos en septiembre de 2014. ^[4] El 20 de febrero de 2015, el Departamento de Seguridad Nacional de los Estados Unidos recomendó desinstalarlo y su certificado raíz asociado , porque hacen que los equipos sean vulnerables a graves ciberataques , incluida la interceptación de contraseñas y datos confidenciales que se transmiten a través de los navegadores . ^{[4] [9]}

Historia

Superfish fue fundada en 2006 por Adi Pinhas y Michael Chertok. ^{[2] [10]} Pinhas es un graduado de la Universidad de Tel Aviv . ^[11] En 1999, cofundó Vigilant Technology , que "inventó la grabación de video digital para el mercado de vigilancia", según su perfil de LinkedIn . ^{[ se necesita una mejor fuente ]} Antes de eso, trabajó en Verint , una empresa de inteligencia que analizaba señales telefónicas y supuestamente había intervenido las líneas de comunicación de Verizon. ^[12] Chertok es un graduado de Technion y la Universidad Bar-Ilan con 10 años de experiencia en "sistemas de minería de datos en tiempo real a gran escala". ^[13]

Desde su fundación, Superfish ha utilizado un equipo de "una docena de doctores" principalmente para desarrollar algoritmos de comparación y emparejamiento de imágenes. Lanzó su primer producto, WindowShopper, en 2011. ^[14] WindowShopper provocó inmediatamente una gran cantidad de quejas en foros de mensajes de Internet, de usuarios que no sabían cómo se había instalado el software en sus máquinas. ^[12]

Superfish recibió inicialmente financiación de Draper Fisher Jurvetson , y hasta la fecha ha recaudado más de 20 millones de dólares, principalmente de DFJ y Vintage Investment Partners. ^[15] Forbes incluyó a la empresa en el puesto número 64 de su lista de empresas más prometedoras de Estados Unidos. ^[16]

Pinhas en 2014 afirmó que “La búsqueda visual no está aquí para reemplazar al teclado… la búsqueda visual es para los casos en los que no tengo palabras para describir lo que veo”. ^[17]

En 2014, los productos Superfish tenían más de 80 millones de usuarios. ^[18]

En mayo de 2015, tras el incidente de seguridad de Lenovo (ver más abajo) y para distanciarse de las consecuencias, el equipo detrás de Superfish cambió su nombre y trasladó sus actividades a JustVisual.com. ^[19]

Incidente de seguridad de Lenovo

Los usuarios habían expresado su preocupación por los escaneos de tráfico web encriptado con SSL por el software Superfish Visual Search preinstalado en las máquinas Lenovo desde al menos principios de diciembre de 2014. ^{[ cita requerida ]} Sin embargo, esto se convirtió en un problema público importante recién en febrero de 2015. La instalación incluía un certificado digital universal autofirmado emitido por una autoridad de certificación ; la autoridad de certificación permite que un ataque de intermediario introduzca anuncios incluso en páginas encriptadas. El certificado digital tenía la misma clave privada en todas las computadoras portátiles; esto permitía a los espías de terceros interceptar o modificar las comunicaciones seguras HTTPS sin activar las advertencias del navegador, ya sea extrayendo la clave privada o usando un certificado autofirmado. ^{[5] [8] [20]} El 20 de febrero de 2015, Microsoft lanzó una actualización para Windows Defender que elimina Superfish. ^[6] En un artículo en Slate, el escritor de tecnología David Auerbach compara el incidente con el escándalo del rootkit DRM de Sony y dice sobre las acciones de Lenovo, "instalar Superfish es uno de los errores más irresponsables que una empresa de tecnología establecida haya cometido". ^[21] El 24 de febrero de 2015, Heise Security publicó un artículo que revelaba que el certificado en cuestión también sería difundido por una serie de aplicaciones de otras empresas, incluidas SAY Media y Ad-Aware Web Companion de Lavasoft . ^[22]

Las críticas al software Superfish fueron anteriores al "incidente de Lenovo" y no se limitaron a la comunidad de usuarios de Lenovo: ya en 2010, los usuarios de computadoras de otros fabricantes habían expresado su preocupación en foros de discusión y soporte en línea de que el software Superfish se había instalado en sus computadoras sin su conocimiento, al estar incluido con otro software. ^[12]

En una declaración motivada por las revelaciones de Lenovo, el director ejecutivo Pinhas sostuvo que la falla de seguridad introducida por el software Superfish no era, directamente, atribuible a su propio código; más bien, "parece que un complemento de terceros introdujo una vulnerabilidad potencial que no conocíamos" en el producto. Identificó la fuente del problema como un código creado por la empresa tecnológica Komodia, que se ocupa, entre otras cosas, de los certificados de seguridad de sitios web. ^[23] Komodia fue fundada por Barak Weichselbaum, un ex programador del IDF Intelligence Core de Israel. ^[24] El código de Komodia también está presente en otras aplicaciones, entre ellas, el software de control parental; y los expertos han dicho que "la herramienta Komodia podría poner en peligro a cualquier empresa o programa que utilice el mismo código" que el que se encuentra en Superfish. ^[25] De hecho, la propia Komodia se refiere a su software de descifrado e interceptación de HTTPS como un "secuestrador de SSL", y lo ha estado haciendo desde al menos enero de 2011. ^[26] Su uso por parte de más de 100 clientes corporativos puede poner en peligro "los datos confidenciales no solo de los clientes de Lenovo sino también de una base mucho más grande de usuarios de PC". ^[27] Komodia fue cerrado en 2018. ^[28]

Productos

El primer producto de Superfish, WindowShopper, fue desarrollado como un complemento para navegadores de escritorio y dispositivos móviles, que dirigía a los usuarios que pasaban el cursor sobre las imágenes del navegador a sitios web de compras para comprar productos similares. En 2014, WindowShopper tenía aproximadamente 100 millones de usuarios mensuales y, según Xconomy , "una alta tasa de conversión a venta para bienes blandos". El modelo de negocio de Superfish se basa en recibir comisiones de afiliado por cada venta. ^[15]

La tecnología principal, Superfish VisualDiscovery, se instala como un proxy intermediario en algunas computadoras portátiles Lenovo. Inyecta publicidad en los resultados de los motores de búsqueda de Internet y también intercepta conexiones cifradas (SSL/TLS). ^{[7] [29]}

En 2014, Superfish lanzó nuevas aplicaciones basadas en su tecnología de búsqueda de imágenes.

Véase también

• Secuestro del navegador
• Visión por computadora
• Indexación de imágenes basada en conceptos
• Recuperación de imágenes basada en contenido
• Procesamiento de imágenes
• Recuperación de imágenes
• Software malicioso
• Zango (empresa)

Referencias

1. Hoge, Patrick (21 de octubre de 2014). "Superfish se adentra en la búsqueda visual". San Francisco Business Times . Consultado el 16 de noviembre de 2014 .
2. "Microsoft y Lenovo luchan por proteger a los usuarios de la falla de seguridad de Superfish". CBSnews.com . CBS/AP. 22 de febrero de 2015 . Consultado el 11 de septiembre de 2015 .
3. Hirschauge, Orr (25 de diciembre de 2013). "Otro golpe al 'Download Valley' de Israel ya que Google prohíbe las barras de herramientas". Haaretz.com . Consultado el 11 de septiembre de 2015. Entre las empresas del Download Valley que probablemente se verán más afectadas por el cambio se encuentran las empresas emergentes Revizer, Superfish, CrossReader y la división Client Connect de la empresa Conduit...
4. "Alerta: el adware "Superfish" de Lenovo es vulnerable a la suplantación de HTTPS". Equipo de preparación para emergencias informáticas de los Estados Unidos. 20 de febrero de 2015. Consultado el 20 de febrero de 2015 .
5. Fox-Brewster, Thomas (19 de febrero de 2015). "Cómo funciona el 'malware' Superfish de Lenovo y qué puede hacer para eliminarlo". Forbes . Consultado el 20 de febrero de 2015 .
6. Chacos, Brad (20 de febrero de 2015). "Bravo! La actualización de Windows Defender elimina por completo el peligroso malware Superfish de Lenovo". PC World . Consultado el 20 de febrero de 2015 .
7. Williams, Owen (19 de febrero de 2015). "Lenovo fue descubierto instalando adware en computadoras nuevas". The Next Web . Consultado el 19 de febrero de 2015 .
8. Hern, Alex (19 de febrero de 2015). "Lenovo acusado de poner en peligro la seguridad de los usuarios instalando adware en los nuevos PC". The Guardian . Consultado el 19 de febrero de 2015 .
9. "El gobierno de Estados Unidos insta a los clientes de Lenovo a eliminar el software Superfish". Reuters. 20 de febrero de 2015. Consultado el 20 de febrero de 2015 .
10. "Superfish obtiene 10 millones de dólares por búsqueda de imágenes". San Francisco Business Times . 30 de julio de 2013.
11. "Preguntas y respuestas: Adi Pinhas, fundador y director ejecutivo de la startup tecnológica Superfish". San Jose Mercury News . 2 de enero de 2015.
12. Fox-Brewster, Thomas (19 de febrero de 2015). "Superfish: A History Of Malware Complaints And International Surveillance" (Superfish: una historia de denuncias de malware y vigilancia internacional). Forbes . Consultado el 21 de febrero de 2015 .
13. "Perfil ejecutivo: Michael Chertok, cofundador y director de tecnología de Superfish, Inc." Bloomberg, consultado el 20 de febrero de 2015 .
14. Craig, Elise (16 de julio de 2014). «Superfish aspira a dominar la búsqueda visual, un producto a la vez». Xconomy . Consultado el 17 de noviembre de 2014 .
15. Craig, Elise (16 de julio de 2014). "Superfish pretende dominar la búsqueda visual, un producto a la vez". Xconomy. p. 2. Consultado el 17 de noviembre de 2014 .
16. "Las empresas más prometedoras de Estados Unidos". Forbes . Enero de 2015 . Consultado el 21 de febrero de 2015 .
17. "¿Qué hará falta para que la búsqueda visual se popularice?". eMarketer. 11 de noviembre de 2014. Consultado el 17 de noviembre de 2014 .
18. Weiss, Vered (3 de septiembre de 2014). "Superfish, la empresa privada de software de más rápido crecimiento de Adi Pinhas en Estados Unidos". Jewish Business News . Consultado el 17 de noviembre de 2014 .
19. "Tras un escándalo de seguridad, una empresa tecnológica dice que está cambiando su enfoque". ABC News . 28 de mayo de 2015. Archivado desde el original el 29 de mayo de 2015 . Consultado el 31 de mayo de 2015 .
20. Valsorda, Filippo (20 de febrero de 2015). "La validación SSL de Komodia/Superfish no funciona" . Consultado el 25 de febrero de 2015 .
21. Auerbach, David (20 de febrero de 2015). "You Had One Job, Lenovo". Slate . Consultado el 21 de febrero de 2015 .
22. "Gefährliche Adware: Mehr als ein Dutzend Anwendungen verbreiten Superfish-Zertifikat" [Dangerous Aware: más de una docena de aplicaciones que difunden el certificado Superfish]. Seguridad de Heise (en alemán). 24 de febrero de 2015 . Consultado el 5 de mayo de 2015 .
23. "Superfish niega su responsabilidad en el lío de seguridad de Lenovo". The Mercury News: siliconbeat. 20 de febrero de 2015.
24. Brewster, Thomas (20 de febrero de 2015). "La empresa detrás de la peligrosa tecnología Superfish de Lenovo afirma que está siendo atacada". forbes.com . Consultado el 25 de enero de 2023 . En una breve conversación por correo electrónico con Barak Weichselbaum, fundador de Komodia, que alguna vez fue programador en el núcleo de inteligencia de las Fuerzas de Defensa de Israel (FDI) de Israel,...
25. "Una startup de Palo Alto señala los fallos de seguridad del software publicitario de Lenovo". Contra Costa Times. 23 de febrero de 2015.
26. "Página del producto decodificador/digestor SSL de Komodia". Komodia Inc. 14 de diciembre de 2010. Archivado desde el original el 22 de enero de 2011. Consultado el 27 de febrero de 2015 .
27. "El "secuestrador de SSL" detrás de la debacle de Superfish pone en peligro a un gran número de usuarios". ars technica. 20 de febrero de 2015.
28. "Acerca de". Komodia . 13 de diciembre de 2010.
29. Duckett, Chris (19 de febrero de 2015). "Lenovo acusado de promover el proxy MITM autofirmado Superfish". DNet . Consultado el 19 de febrero de 2015 .