元器件造假新套路：将“木马”嵌入到 FPGA 或内存组件中

作者： Gary Beckstedt，本文转载自： EDN电子技术设计

几十年来，假冒零件一直是电子产品供应链的一部分——一种隐秘的、不受欢迎的不正之风，每年给该行业造成数十亿美元的损失。

据美国政府估计，假冒半导体和其他电子零件约占国防部供应链的 15%，几十年来，这个问题以及与之作斗争一直是头等大事。

我想我可能在 1997 年左右经历了我的第一个假冒零件——甚至没有意识到它们是什么。

我在一家公司工作，送出一套组装成电路板的零件，我们遇到了这个特定零件的一系列故障。

当时，我们将其归因于错误的制造日期代码。

我们从另一个经销商那里得到了替换零件，继续工作；在那之后至少一年，每次我订购该零件时，我都排除了该特定日期代码。

十年后，当我更多地了解仿冒品时，我意识到那些部件可能不是错误的日期代码，它们可能是仿冒品。

假货更可怕
如今，假冒游戏升级了。

除了物理/传统的假冒方法（黑色浇头、重新标记或重复使用使用过的部件）之外，犯罪分子还找到了欺骗潜在客户的新方法。

最近，我听说犯罪分子将“木马代码”嵌入到 FPGA 或内存组件中，这是我们无法测试的。我们真的无法检测到这些代码，而且坦率地说，大部分针对防伪的测试都是在物理领域进行的，无论是通过显微镜还是通过 X 射线查看芯片。而且，这些测试不会捕获这些木马。因此，面对这种新威胁，我们确实必须确保您通过授权分销和直接从工厂购买来坚持使用已知的良好供应来源。

我们目前正处于供应紧张状态，因此很难找到零件——我理解这一点。尽管如此，没有人希望他们手上有假冒的情况。

以下是防伪需要考虑的一些因素。它与采购团队和您的供应商管理系统一起回到流程的开始，并确保您选择的零件处于产品生命周期的早期并且数量充足。如果情况并非如此，并且您是 OEM 并且您需要的某些部件已报废，那么这里有一些潜在的危险信号：

从与原始制造商没有合同安排的供应商开始。

他们的市场声誉如何？他们属于哪些贸易组织（例如 ECIA）？

您过去与他们相处的总体经历是什么？

并非每个未经授权的供应商都是坏的。它只会增加你的风险。而且，如果您认为风险是值得的，您的质量控制团队也可以采取措施。他们可以直接从制造商那里获得关于这些部件应该是什么样子的信息——它们是如何包装、标记的；在磁带和卷轴等上？他们是否可以一直追溯到原始制造商？当您在授权分销之外购买时，这种可追溯性非常、非常难以或不可能获得。

品质带来品质
最终，搜索掌握在您自己手中。

从授权经销商那里寻找您需要的零件。如果您失败了，找不到任何授权经销商线，那就只去找那些你有历史合作记录的独立经销商；使用你信任的人。

有时候他们需要的零件就是买不到，而且，当你处于缺货热潮中时，诱惑可能很强烈，但要强调的是，在你的产品上孤注一掷最终是不值得的。

审核编辑 黄宇