O TrojPix é uma nova técnica de exfiltração de dados apresentada por pesquisadores da Universidade de Shandong que demonstra como até computadores air-gapped, completamente isolados da internet, podem ter informações vazadas por meio de simples cabos de vídeo. O estudo estabelece um novo recorde de velocidade para esse tipo de canal oculto, mostrando que o isolamento físico, por si só, não elimina todos os riscos de espionagem digital.
Embora o método tenha sido desenvolvido em ambiente de laboratório, ele chama atenção pelo nível de sofisticação. Em vez de explorar uma vulnerabilidade tradicional na rede, o TrojPix utiliza sinais gerados pelo próprio sistema de vídeo para transmitir informações por radiofrequência. O resultado é uma comunicação clandestina capaz de alcançar um receptor localizado a centenas de metros de distância.
Outro detalhe importante é que a pesquisa demonstra que a técnica pode funcionar sem exigir privilégios de administrador (root) para manipular a saída de vídeo. Isso reforça um princípio conhecido na segurança da informação: impedir que um malware seja executado no computador continua sendo a principal linha de defesa, especialmente em ambientes críticos.
Como o TrojPix transforma pixels em ondas de rádio
O funcionamento do TrojPix pode parecer complexo à primeira vista, mas o conceito é relativamente simples.
Os pesquisadores desenvolveram um método capaz de modificar determinados pixels exibidos na tela em alta velocidade. Essas alterações são praticamente imperceptíveis para quem utiliza o computador, mas mudam a forma como os sinais elétricos percorrem o cabo de vídeo.
Como consequência, o cabo passa a emitir pequenas ondas eletromagnéticas que podem ser captadas por um receptor de rádio posicionado nas proximidades.
Na prática, o cabo deixa de ser apenas um meio de transmissão entre o computador e o monitor e passa a funcionar como uma antena improvisada para transportar informações.
Os dados são convertidos em padrões cuidadosamente calculados de pixels, que geram sinais de rádio modulados. Um equipamento preparado para receber essas emissões consegue reconstruir as informações transmitidas sem qualquer conexão de rede entre o computador e o invasor.
Essa abordagem pertence à categoria dos chamados canais ocultos (covert channels), técnicas que exploram características físicas do hardware para criar meios alternativos de comunicação.

Monitor desligado ou disfarçado: as táticas de ocultação
Para evitar que o usuário perceba qualquer atividade suspeita, o TrojPix utiliza diferentes estratégias durante a transmissão.
Uma delas consiste em aproveitar situações nas quais o monitor permanece desligado, mas a placa de vídeo continua enviando sinais pelo cabo. Mesmo sem imagem visível, a emissão eletromagnética continua acontecendo, permitindo que os dados sejam transmitidos.
Outra técnica utiliza alterações extremamente discretas na imagem exibida.
Os pesquisadores exploram mudanças rápidas entre quadros ou pequenas regiões da tela que passam despercebidas pelo olho humano. Dessa forma, o usuário continua utilizando o computador normalmente enquanto o canal oculto permanece ativo.
Esse cuidado torna a técnica particularmente interessante do ponto de vista acadêmico, pois reduz significativamente as chances de detecção visual durante a transmissão.
TrojPix quebra recordes de velocidade na exfiltração de dados
Pesquisas envolvendo computadores air-gapped não são novidade.
Nos últimos anos, diversos estudos demonstraram que informações podem ser extraídas utilizando som, vibração, calor, luz ou emissões eletromagnéticas produzidas pelos próprios equipamentos.
O diferencial do TrojPix está no desempenho alcançado.
Segundo os pesquisadores, a técnica foi capaz de transmitir dados a aproximadamente 8,1 Mbps, mantendo comunicação confiável a uma distância de até 208 metros.
Esse desempenho representa um avanço significativo quando comparado a pesquisas anteriores.
Métodos como o PIXHELL também exploravam emissões provenientes da interface de vídeo, mas operavam com taxas de transmissão muito inferiores.
Outro trabalho conhecido, o TEMPEST-LoRa, utilizava radiação eletromagnética para criar um canal clandestino de comunicação, porém oferecendo largura de banda bastante limitada em relação ao TrojPix.
Na prática, isso significa que volumes muito maiores de informações podem ser transferidos em menos tempo, reduzindo a janela necessária para que a exfiltração seja concluída.
Apesar disso, é importante lembrar que esse tipo de ataque continua dependendo de condições específicas, como a infecção prévia da máquina e a presença de um receptor adequado dentro do alcance da transmissão.
Como proteger sistemas contra o TrojPix
Embora a pesquisa impressione pelos resultados, ela não significa que qualquer computador isolado esteja imediatamente em risco.
Antes que o TrojPix possa transmitir qualquer informação, é necessário que um malware seja instalado no sistema.
Por esse motivo, impedir a infecção inicial continua sendo a medida de segurança mais importante.
Boas práticas incluem restringir o uso de dispositivos USB, controlar rigorosamente a instalação de softwares, manter sistemas atualizados e utilizar soluções modernas de detecção e resposta a ameaças.
Também é fundamental limitar o acesso físico aos equipamentos, especialmente em ambientes que armazenam informações estratégicas.
Do ponto de vista da infraestrutura, algumas medidas reduzem significativamente a possibilidade desse tipo de vazamento.
Uma delas é substituir cabos convencionais de cobre por cabos de fibra óptica, que não produzem o mesmo tipo de emissão eletromagnética durante a transmissão dos sinais de vídeo.
Outra alternativa consiste em adotar equipamentos desenvolvidos conforme os padrões TEMPEST, utilizados por organizações governamentais e militares para minimizar vazamentos por radiação eletromagnética.
Em instalações de alta segurança também podem ser empregadas salas blindadas, filtros específicos para cabos e controles rigorosos sobre dispositivos eletrônicos presentes no ambiente.
Embora essas soluções sejam voltadas principalmente para infraestruturas críticas, a principal lição permanece válida para qualquer organização: impedir que códigos maliciosos sejam executados continua sendo muito mais eficiente do que tentar bloquear a transmissão depois que ela já começou.
O TrojPix reforça que sistemas isolados ainda exigem múltiplas camadas de proteção
O TrojPix amplia o conhecimento sobre os chamados canais ocultos e demonstra que computadores air-gapped continuam sendo alvo de pesquisas capazes de contornar o isolamento físico por meios inesperados.
Mesmo sendo uma prova de conceito desenvolvida em laboratório, o estudo mostra como componentes comuns, como um simples cabo de vídeo, podem ser explorados para criar formas alternativas de comunicação entre um computador e um receptor externo.
Isso não significa que a técnica esteja pronta para ataques em larga escala, mas serve como um importante alerta para profissionais de cibersegurança, administradores de sistemas e organizações que dependem de ambientes altamente protegidos.
À medida que novas pesquisas ampliam os limites da exfiltração de dados, torna-se cada vez mais evidente que a segurança precisa combinar proteção física, políticas de acesso, monitoramento constante e prevenção contra malware. Afinal, um sistema desconectado da internet continua vulnerável se um invasor conseguir comprometer o equipamento por outros meios.
