通过使用工业 X 光机对比一根正品 FTDI USB 线缆和一根可疑的假冒线缆,揭示了两者在硬件设计上的显著差异。正品线缆在电路板布局、散热和元件排列等方面都表现出更优良的工程设计。这个实验表明,即使有专业设备,辨别假冒硬件也非易事,这凸显了供应链安全中的一个严重风险:假冒或不合规的硬件可能携带后门或漏洞,对企业和关键基础设施构成重大威胁。
一个可疑的旧线缆
起因是一根旧的 FTDI USB 转 UART 线缆。这根线缆在低速传输时工作正常,但在尝试传输固件等大数据量时就会失败。这引发了对其真实性的怀疑,因为它很可能是一个假冒产品。
假冒 FTDI 芯片的问题早已存在,该公司甚至曾通过发布会“锁死”假冒芯片的驱动程序来反击。为了验证差异,我们将其与从授权分销商处购买的、价格约为 20 美元的正品线缆进行了对比。
除非我们能将芯片与已知的供应链完全匹配,否则我们只能猜测它究竟是来自不符合性能要求的生产批次,还是基于被盗的 FTDI 知识产权制造的。
X光揭示的设计差异
通过 X 光图像对比,正品线缆具备多项可疑线缆所缺乏的工程设计特性。这些细节反映了制造商在可靠性和性能上的投入。
- 接地灌铜 (Ground pours): 用于降低阻抗和接地回路,同时改善电磁干扰(EMI)和散热。
- 接地过孔 (Ground stapling): 增强接地连接的稳定性。
- 解耦电容: 位置更靠近主集成电路(IC),以获得更好的滤波效果。
- 隔离元件: 为 USB 数据引脚提供了更多的隔离元件。
- 散热焊盘: 在主芯片下方设计了散热焊盘以辅助散热。
- 应力消除设计: 对电线连接处进行了工程化的应力消除设计,更加耐用。
- 更多焊料: USB-A 连接器的机械固定片上有更多焊料,以增强结构强度。
- 更小/更新的芯片制程: 表明使用了更现代的制造技术。
- 更好的元件对齐: 无源元件的排列更加规整。
从一根线缆看供应链安全
即使知道了要寻找什么特征,识别假冒产品也未必容易。对于普通消费者来说,买到一根有问题的 USB 线缆可能只是带来一些不便。但对于大型组织而言,后果则要严重得多。
当一家企业收到了预装后门的假冒网络设备,或者一家大银行收到了存有其他公司数据的二手服务器时,会发生什么?
供应链风险正在迅速增长。随着人工智能等项目占据了全球芯片、内存和存储的大量供应,这些组件的二级市场也变得异常活跃。这种供应链的速度和复杂性为网络攻击者留下了可乘之机。
攻击者可以利用这些缺口,将脆弱的组件和后门植入到最终会进入关键基础设施的技术中。因此,加强对硬件层面的供应链安全审查至关重要。