Mastodon Mastodon Mastodon Mastodon

Unsichtbare Pixelmodulation: Wie TrojPix Air-Gap-Netze angreift

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forscher der Universität Shandong haben mit TrojPix eine Methode vorgestellt – eine Technik zur Datenexfiltration aus physisch isolierten (air-gapped) Computern, die eine unauffällige Modulation von Pixeln auf dem Bildschirm nutzt, um über das Videokabel ein Hochfrequenzsignal zu erzeugen. Nach Angaben der Forscher erreicht die maximale Bandbreite des Kanals 8,1 Mbit/s, die Reichweite bis zu 208 Meter, was frühere, bekannte verdeckte Kanäle dieser Klasse um Größenordnungen übertrifft. Die Methode setzt eine vorherige Infektion des Zielrechners mit Malware voraus und eignet sich nicht als Initialzugang – sie dient ausschließlich als Kanal zur Ausgabe gestohlener Daten. Die Arbeit wurde zur Veröffentlichung auf der Konferenz USENIX Security 2026 angenommen.

Wie die unsichtbare Pixelmodulation funktioniert

Die Methode, die die Autoren imperceptible pixel modulation nennen, basiert darauf, dass jedes kupferbasierte Videokabel (HDMI, VGA, DisplayPort) bei der Signalübertragung parasitäre elektromagnetische Abstrahlung erzeugt. TrojPix erzeugt gezielt Pixelmuster, die für das menschliche Auge unsichtbar sind, aber ein vorhersagbares Hochfrequenzsignal generieren, das von einem Empfänger in einiger Entfernung dekodiert werden kann.

Wie berichtet, benötigt TrojPix keine Administratorrechte und keine Hardware-Modifikationen – es genügt Malware auf Benutzerebene, die in der Lage ist, ein Bild auf dem Bildschirm auszugeben. Die Forscher beschreiben zwei Tarnmodi:

  • Simulation eines ausgeschalteten Displays – der Bildschirm bleibt dunkel, während die verdeckte Übertragung andauert. Für einen Beobachter wirkt der Monitor ausgeschaltet.
  • Einbettung in normalen Inhalt – das Signal ist in das normale Bild auf dem Bildschirm eingebettet, und visuell unterscheidet sich die angezeigte Darstellung nicht von einer üblichen.

Nach Angaben der Forscher wurde die Technik mit neun Monitor-Marken und fünfzehn Typen von Videokabeln getestet, was auf die Universalität des Ansatzes hindeutet. Dabei ist jedoch zu beachten, dass die Werte von 8,1 Mbit/s und 208 Metern unter Laborbedingungen und getrennt voneinander gemessen wurden, nicht gleichzeitig. In realen Umgebungen werden Wände, Abschirmungen und elektromagnetische Störungen beide Parameter deutlich reduzieren.

Kontext: von TEMPEST bis zu modernen versteckten Kanälen

Die Nutzung parasitärer elektromagnetischer Abstrahlungen zum Abfangen von Daten ist keine neue Idee. Das Programm TEMPEST, das kompromittierende Emissionen elektronischer Geräte untersucht, existiert seit Jahrzehnten. TrojPix hebt sich jedoch von seinen Vorgängern durch die Übertragungsgeschwindigkeit ab. Die meisten bekannten verdeckten Kanäle für isolierte Systeme arbeiten mit Geschwindigkeiten im Bereich von wenigen Bit bis zu Kilobit pro Sekunde.

Zum Vergleich: Die Methode TEMPEST-LoRa, die ein ähnliches Prinzip mit Empfängern nach dem LoRa-Standard nutzt, erreichte nach Angaben der Forscher 21,6 kbit/s bei einer Reichweite von 87,5 Metern. Die für TrojPix angegebene Bandbreite übertrifft diesen Wert um ein Vielfaches, auch wenn ein direkter Vergleich aufgrund der Unterschiede bei den Empfängern und den Testbedingungen nicht korrekt ist.

Bei einer Geschwindigkeit von 8,1 Mbit/s lässt sich eine Datei mit einem Volumen von 100 MB theoretisch in weniger als zwei Minuten übertragen. Das verändert das Bedrohungsmodell grundlegend: Statt der langsamen Exfiltration von Passwörtern oder Kryptoschlüsseln geht es um die potenzielle Übertragung ganzer Datenbanken oder Dokumentenarchive.

Gleichzeitig ist wichtig zu betonen: All diese auf elektromagnetischen Emissionen basierenden Kanäle bleiben Laborforschung. Reale Angriffe auf isolierte Systeme – Stuxnet, Agent.BTZ – überwanden die Luftlücke über USB-Datenträger und nicht über Funkkanäle.

Wer ist gefährdet

TrojPix stellt eine potenzielle Bedrohung für Organisationen dar, die sich bei kritischen Daten in erster Linie auf physische Isolation als Schutzbarriere stützen:

  • Militärische und nachrichtendienstliche Einrichtungen mit geheimen Netzen
  • Industrielle Steuerungssysteme (АСУ ТП / SCADA) in der kritischen Infrastruktur
  • Finanzorganisationen mit isolierten Segmenten für die Transaktionsverarbeitung
  • Forschungslabore mit vertraulichem geistigem Eigentum

Die zentrale Einschränkung ist die Notwendigkeit einer vorherigen Infektion des Zielrechners. Ohne Malware auf dem isolierten Computer ist TrojPix nutzlos. Das schränkt die praktische Anwendbarkeit erheblich ein, beseitigt die Bedrohung jedoch nicht: Die Vergangenheit zeigt, dass die Einschleusung von Schadcode in isolierte Netze über Lieferketten, Insider oder infizierte Wechseldatenträger möglich ist.

Empfehlungen zum Schutz

Parasitäre elektromagnetische Abstrahlung eines Kupferkabels lässt sich mit Software nicht beseitigen – sie ist eine physikalische Eigenschaft des Leiters. Der Schutz erfolgt auf mehreren Ebenen:

  • Optische (Glasfaser-)Videoverbindungen – der Austausch kupferbasierter Videokabel durch Glasfaserverbindungen schließt Hochfrequenzemissionen als Abflusskanal vollständig aus.
  • Abschirmung von Räumen und Kabeln – Einrichtungen, die nach TEMPEST-Standards zertifiziert sind, setzen diese Maßnahmen bereits um. Für alle anderen sollte die Notwendigkeit von Abschirmungen abhängig von der Einstufung der verarbeiteten Daten bewertet werden.
  • Sicherstellung der Integrität der Softwareumgebung – die Verhinderung einer Infektion isolierter Systeme bleibt die wichtigste Maßnahme. Strenge Kontrolle von Wechseldatenträgern, Verifizierung der Software-Lieferkette, Überwachung anomaler Aktivitäten auf Benutzerebene.
  • Überwachung des Hochfrequenzspektrums – für Einrichtungen mit hohem Bedrohungsniveau ist die Kontrolle der elektromagnetischen Umgebung in der Nähe isolierter Systeme sinnvoll.

TrojPix zeigt, dass physische Isolation eines Netzes nicht gleichbedeutend mit absoluter Datensicherheit ist. Organisationen, die besonders kritische Informationen in isolierten Segmenten schützen, sollten ihre Videoverbindungen im Hinblick auf die Nutzung von Kupferkabeln überprüfen und die Umstellung auf Glasfaser in Betracht ziehen sowie sicherstellen, dass die Maßnahmen zur Verhinderung einer Infektion isolierter Rechner dem Schutzbedarf der Daten entsprechen.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.