元件造假新套路:「木馬」嵌入FPGA或記憶體

作者 : Gary Beckstedt,Flip Electronics營運和品質總監

如今,元件假冒競賽升級了。除了實體/傳統的假冒方法之外,犯罪分子還找到了欺騙潛在客戶的新方法,最近,我聽說犯罪分子將「木馬程式碼」嵌入FPGA或記憶體元件中…

幾十年來,「假冒元件」(Counterfeit part)一直存在於電子產品供應鏈的一部份——一種隱秘且不受歡迎的不正之風,每年對於該產業造成數十億美元的損失。據美國政府估計,假冒半導體和其他電子元件約佔國防部(DoD)供應鏈的15%,幾十年來,這個問題以及與之抗爭一直是頭等大事。

我想我可能在1997年左右經歷了我的第一個假冒元件——甚至未能意識到它們是什麼。我當時在一家公司工作,送出一套組裝成電路板(PCB)的元件,但遇到了這個特定零件的一連串故障。當時,我們將其歸因於錯誤的製造日期程式碼。

後來,我們從另一家經銷商那裡取得了替換元件,繼續工作;在那之後至少一年,每次我訂購該零件時,我都排除了該特定日期代碼。

十年後,當我更進一步瞭解仿冒品時,我才知道那些元件可能並不是日期錯誤,而可能是仿冒品。

假貨更加可怕

如今,假冒競賽升級了。

除了實體/傳統的假冒方法(黑色澆頭、重新標記或重複使用二手元件)之外,犯罪分子還找到了欺騙潛在客戶的新方法。最近,我聽說犯罪分子將「木馬程式碼」(trojan codes)嵌入到FPGA 或記憶體元件的情況,這是我們無法測試的。我們真的無法檢測到這些程式碼,而且坦白說,大部份針對防偽的測試都是在實體領域進行的,無論是透過顯微鏡還是以X射線查看晶片。而且,這些測試並不會擷取到這些木馬程式碼。因此,面對這種新威脅,我們確實必須確保堅持使用透過授權經銷和直接從工廠購買的已知良好供應來源。

counterfeit ICs, counterfeit, counterfeiters

我們目前正處於供應緊張狀態,因此很難找到零件——我理解這一點。儘管如此,沒有人希望手上拿到的是假冒元件。

以下是防偽需要考慮的一些因素。請與採購團隊和您的供應商管理系統一起回到流程的開始,確保您躼選擇的元件處於產品生命週期的早期且數量充足。如果情況並非如此,而且您是OEM,加上所需要的某些元件已報廢,那麼這裡可能存在一些潛在的危險訊號:

  • 從一家沒有和原始製造商(OEM)安排合約的供應商開始。
  • 他們的市場聲譽如何?他們參與了哪些貿易組織(例如ECIA)?
  • 過去與他們相處的整體經歷如何?

並非每一家未經授權的供應商都是壞的。它只是會增加風險。而且,如果您認為值得那樣的風險,而您的品質控制團隊也可以採取相應措施。他們可以直接從製造商那裡獲得關於這些元件的資訊——如何包裝與標記等;在磁帶和卷軸等?他們是否可以一直追溯到原始製造商?當您向授權經銷之外的來源採購時,基本上,非常、非常困難或者根本不可能取得這種可追溯性。

品質帶來品質

最終,「搜尋」掌握在您自己手中。從授權經銷商處尋找您所需的零件開始。如果您失敗了,找不到任何授權經銷商線,那就只能去找那些你曾經合作過的獨立經銷商;使用你信任的人。

我想指出的最重要一點是:我希望人們意識到,有時候真的需要的元件就是買不到——這並不是任何人的錯。 而且,當你處於缺貨熱潮時,誘惑可能更加強烈——但要強調的是:在自家產品上孤注一擲最終是不值得的;在絕望的時刻,您的品牌和公司名稱可能出現在未經證實的來源上。

編譯:Demi Xia

(參考原文:Counterfeiters Amping Up Their Game,by Gary Beckstedt)

加入LINE@,最新消息一手掌握!

發表評論