Onderzoekers van de Shandong Universiteit hebben een snelle nieuwe manier laten zien om gegevens van computers te halen die van elk netwerk zijn afgesloten. De techniek, genaamd TrojPix, past de pixels op het scherm aan op manieren die het oog niet kan zien, zodat de videokabel die ze draagt een zwak radiosignaal uitstraalt dat een ontvanger in de buurt kan decoderen.
Maar TrojPix werkt alleen als er al malware op de doelcomputer aanwezig is, dus het is een manier voor gestolen gegevens om naar buiten te komen, en niet een manier om naar binnen te gaan. In de tests van de onderzoekers haalde TrojPix een piekdoorvoer van 8,1 Mbps en reikte tot wel 208 meter, waarbij de twee afzonderlijk werden gemeten in plaats van samen.
De meeste geheime kanalen met luchtspleten kruipen voort met bits of kilobits per seconde; met 8,1 megabit, ongeveer een megabyte per seconde, kon TrojPix een bestand van 100 MB in minder dan twee minuten verplaatsen. Dat verandert de dreiging van het lekken van een wachtwoord in het verplaatsen van hele bestanden terwijl de monitor uitgeschakeld lijkt.
Het bereik in de echte wereld is een andere zaak: een ontvanger moet nog steeds door muren, afscherming en ruis heen vechten.
De methode, die de onderzoekers noemen onmerkbare pixelmodulatieheeft geen beheerdersrechten en geen hardwarewijzigingen nodig, zeggen ze; Malware op gebruikersniveau die naar het scherm kan trekken, is voldoende.
Ze beschrijven twee manieren om het verkeer te verbergen. Eén doet alsof het scherm is uitgeschakeld, waardoor het scherm donker blijft terwijl het uitzendt. De andere begraaft het signaal in wat er al op het scherm staat, zodat normaal ogende inhoud de lading draagt.
Het team meldt dat het werkt met negen monitormerken en vijftien videokabels, dus het resultaat is niet gebonden aan één opstelling.

Het veranderen van een videokabel in een geheime zender is niet nieuw. Het gaat terug op de tientallen jaren oude studie naar compromitterende emanaties, bekend als TEMPEST, en meer recentelijk op werk als TEMPEST-LoRa (CCS 2025), dat dezelfde truc gebruikte om kant-en-klare LoRa-radio’s te bereiken, een veelgebruikte draadloze standaard voor lange afstanden.
Die bereikte een topsnelheid van 87,5 meter, oftewel 21,6 kbps. De piekdoorvoer van TrojPix is honderden keren hoger, hoewel de twee verschillende ontvangers gebruiken onder verschillende omstandigheden, dus de cijfers zijn geen onderlinge vergelijking.
Deze emissiekanalen blijven laboratoriumwerk. De air-gap-aanvallen die in het wild zijn opgedoken, van Stuxnet tot Agent.BTZ, overbrugden de kloof op USB-drives, niet via de radio; TrojPix en zijn soortgenoten laten zien wat mogelijk is, niet wat er is gepakt.
Een ander schermgebaseerd kanaal, PIXHELL, waarover The Hacker News in 2024 berichtte, liet het beeldscherm zelf geluid uitzenden om gegevens te lekken van een pc met luchtopening.
Anderen hebben data van Ethernet gehaald met een geïnstalleerd hardware-implantaat, het soort hardwareverandering dat TrojPix vermijdt.
Je kunt de uitstoot zelf niet wegwerken. De tegenmaatregelen zijn fysiek en preventief: voer video uit via glasvezelverbindingen, die een dergelijk signaal niet doorgeven, in plaats van koper; bescherm kabels en kamers waar de gegevens dit rechtvaardigen, zoals faciliteiten met een TEMPEST-rating al doen; en bovenal: houd malware in de eerste plaats van de machine, want zonder dat houvast heeft TrojPix niets te verzenden.
Zodra een aanvaller binnen is, kan een kanaal dat zo snel is de gegevens naar buiten verplaatsen in de tijd dat het scherm donker blijft.