Superfishの「手口」とその仕組みについては、以下のサイトで非常に分かりやすく図解されています。
Superfishが危険な理由 - めもおきば
http://d.hatena.ne.jp/nekoruri/20150220/superfish
さらに最悪なことに、SuperfishはCAの署名(秘密鍵)をSuperfishプログラム内に保管しており、Superfishの証明書やSuperfish CAは全世界すべてで共通したものが流用されているとのこと。
つまり、Lenovo製PCのSuperfishからSuperfich CAの秘密鍵を取り出すことで、悪意ある攻撃者が攻撃し放題になるというわけです。
なお、Superfish CAの秘密鍵の取り出しに成功している例はすでに登場しています。
Errata Security: Extracting the SuperFish certificate
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
Superfishがアドウェアを超えてとんでもないセキュリティホールであることが明らかになり
もはや「Lenovoが仕込んだバックドアではないのか?」という説が現れるなど、大騒動となっていることを受けて
2015年2月19日、Lenovoのピーター・ホルテンシウスCEOはWall Street Journalに対して
「Superfishをプリインストールする時点で十分な評価をしていませんでした。
しかし、現在のところSuperfishによってユーザーが被害を受けたとは考えていません」と答えています。
被害は出ていないけれども、Lenovo公式のSuperfish削除ツールを一両日中にリリースする方針であるとのことです。
また、LenovoはSuperfish問題に対して公式声明を発表。
それによると、「Superfishは2014年9月から12月の間に出荷されたWidowsノートPCにプリインストールされていたが
2015年1月にプリインストールを停止した」とのこと。
ただし、少なくとも2014年6月からSuperfishがプリインストールされていたというLenovoの公式声明とは異なる指摘もあります。
Lenovo Newsroom | LENOVO STATEMENT ON SUPERFISH
http://news.lenovo.com/article_display.cfm?article_id=1929
以下ソース
http://gigazine.net/news/20150220-lenovo-superfish-disaster/