🛡️ Executive Summary
- TrojPix sfrutta modulazioni impercettibili dei pixel per generare emissioni elettromagnetiche controllabili dai cavi video digitali.
- L’attacco consente esfiltrazione da sistemi air-gapped senza rete, privilegi elevati o modifiche hardware sul computer bersaglio.
- Le mitigazioni richiedono controlli fisici, schermatura, monitoraggio EM, policy sui display e difese multilivello negli ambienti isolati.
TrojPix porta gli attacchi contro sistemi air-gapped a un nuovo livello di sofisticazione, dimostrando che l’isolamento fisico non elimina il rischio di esfiltrazione quando restano disponibili canali laterali sfruttabili. Presentato nel contesto di USENIX Security 2026, l’attacco utilizza la modulazione impercettibile dei pixel visualizzati sullo schermo per indurre emissioni elettromagnetiche controllabili sui cavi video digitali. In questo modo un malware già presente sul computer isolato può codificare informazioni sensibili all’interno dell’output grafico, senza rete, senza privilegi di sistema e senza modifiche hardware. Il segnale può poi essere ricevuto a distanza tramite apparecchiature esterne, trasformando monitor e cavi video in un canale covert ad alta capacità. La ricerca è rilevante per infrastrutture governative, industriali, militari e scientifiche che affidano la protezione dei dati alla separazione fisica dalla rete. TrojPix non rende inutili gli air-gap, ma dimostra che l’isolamento deve essere accompagnato da controlli fisici, procedurali e hardware più rigorosi.
Cosa leggere
TrojPix trasforma lo schermo in un canale covert elettromagnetico
Il principio tecnico di TrojPix si basa su una constatazione critica: i contenuti visualizzati su uno schermo possono influenzare in modo deterministico le emissioni elettromagnetiche generate dai cavi video digitali. I ricercatori dimostrano che, modulando i pixel in modo impercettibile per l’occhio umano, è possibile generare segnali EM controllabili e usarli per trasmettere dati fuori da un sistema isolato. A differenza di altri canali covert basati su emissioni di CPU, memoria o periferiche, TrojPix punta a conciliare tre caratteristiche normalmente difficili da ottenere insieme: velocità elevata, lunga distanza e invisibilità visiva. Questo rende l’attacco particolarmente interessante per la ricerca offensiva e difensiva sugli ambienti air-gapped, perché sfrutta componenti ordinari come display e cavi video, presenti in quasi ogni workstation isolata. Il malware non deve aprire connessioni di rete né alterare fisicamente il sistema: gli basta controllare ciò che viene renderizzato sullo schermo.
Perché gli air-gap non garantiscono sicurezza assoluta

I sistemi air-gapped vengono progettati per impedire comunicazioni dirette con reti esterne, wireless o cablate. Sono usati in centrali energetiche, ambienti militari, laboratori di ricerca, sistemi industriali, infrastrutture governative e archivi ad alta sensibilità. L’assenza di connettività riduce drasticamente la superficie d’attacco, ma non elimina la possibilità che un malware venga introdotto tramite supply chain, supporti rimovibili, manutenzione, dispositivi periferici o accessi fisici occasionali. Una volta all’interno, il problema diventa l’esfiltrazione. TrojPix mostra che i canali laterali possono trasformare componenti apparentemente innocui in vettori di uscita. Lo schermo, pensato per visualizzare informazioni all’utente, diventa uno strumento di trasmissione. Il cavo video, pensato per portare il segnale al monitor, diventa una sorgente elettromagnetica misurabile. L’air-gap resta quindi una difesa potente, ma deve essere interpretato come uno strato di sicurezza, non come una garanzia assoluta.
Modulazione dei pixel e invisibilità per l’utente
La componente più insidiosa dell’attacco riguarda l’impercettibilità. TrojPix codifica i dati alterando i pixel in modo tale da non produrre variazioni visive evidenti sullo schermo. La tecnica può operare in modalità fake screen-off, simulando un display apparentemente spento, oppure in modalità foreground embedding, integrando la trasmissione all’interno del contenuto visibile. Questo secondo scenario è particolarmente rilevante perché permette al canale covert di funzionare mentre l’utente continua a vedere un’interfaccia apparentemente normale. La codifica combina mappatura pixel-campione e decodifica adattiva, consentendo al ricevitore di ricostruire il flusso informativo anche in condizioni realistiche. Per i difensori, il problema è duplice: l’attività non si manifesta come traffico di rete e non produce necessariamente anomalie evidenti nel sistema operativo. Le difese basate su log, firewall, proxy o rilevamento endpoint possono quindi non vedere nulla di significativo.
Prestazioni elevate e distanza rendono TrojPix più pratico
La ricerca su TrojPix segnala prestazioni che rendono il canale più concreto rispetto a molte tecniche air-gap precedenti. Il paper riporta un throughput di picco pari a 8,1 Mbps e una distanza massima di 208 metri, valori particolarmente rilevanti per uno scenario covert basato su emissioni elettromagnetiche da cavi video digitali. La valutazione è stata condotta su dispositivi commerciali, includendo monitor e cavi COTS, cioè componenti disponibili sul mercato e non hardware specializzato. Questo aspetto aumenta l’importanza della scoperta: l’attacco non dipende da una configurazione esotica, ma da proprietà osservabili in sistemi reali. Naturalmente, la fattibilità operativa in un ambiente ad alta sicurezza dipende da molte condizioni, tra cui schermatura, distanza, rumore elettromagnetico, posizione del ricevitore e policy fisiche dell’area protetta. Tuttavia, la combinazione tra velocità, distanza e invisibilità visiva rende TrojPix un caso di studio rilevante per chi progetta difese contro esfiltrazione da ambienti isolati.
Un malware interno resta il prerequisito dell’attacco
TrojPix non elimina la necessità di compromettere inizialmente il sistema air-gapped. Per trasmettere i dati, un malware deve già essere presente sul computer bersaglio e deve poter accedere alle informazioni da esfiltrare. Questo prerequisito è importante per valutare correttamente il rischio: l’attacco non consente di violare da remoto un sistema isolato, ma offre un metodo per far uscire dati una volta superata la barriera iniziale. I vettori di introduzione possono includere dispositivi USB, aggiornamenti software manipolati, supply chain, manutenzione tecnica, periferiche compromesse o accessi privilegiati interni. Una volta attivo, il malware può leggere file, chiavi, configurazioni o contenuti sensibili e convertirli in sequenze di modulazione grafica. Da quel momento, la difesa non dipende più solo dal controllo delle porte di rete, ma anche dalla capacità di impedire o rilevare trasmissioni non convenzionali attraverso componenti fisici del sistema.
Impatto per infrastrutture critiche e ambienti classificati
Le implicazioni sono particolarmente rilevanti per organizzazioni che gestiscono dati classificati, segreti industriali, proprietà intellettuale, sistemi di controllo industriale o informazioni militari. In questi ambienti, gli air-gap vengono spesso considerati una misura di separazione estrema, ma TrojPix dimostra che la protezione deve includere anche emissioni elettromagnetiche, configurazione dei display, controllo delle periferiche e sicurezza fisica delle aree circostanti. Un ricevitore collocato a distanza, in una posizione compatibile con il raggio di intercettazione, potrebbe teoricamente raccogliere segnali senza interagire direttamente con il sistema. Questo scenario impone valutazioni più rigorose su sale operative, laboratori, postazioni di amministrazione e aree dove vengono visualizzati dati sensibili. La minaccia non riguarda l’utente medio, ma contesti ad alto valore in cui un attaccante avanzato può investire tempo, preparazione e risorse per costruire una catena di compromissione completa.
Mitigazioni: schermatura, policy fisiche e monitoraggio EM
Le contromisure contro TrojPix devono essere multilivello. Sul piano fisico, gli ambienti più sensibili possono adottare schermature elettromagnetiche, cavi video certificati, filtri, controllo della distanza da aree non autorizzate e policy più rigide sul posizionamento dei monitor. Sul piano operativo, è necessario limitare l’introduzione di supporti rimovibili, validare aggiornamenti offline, controllare la supply chain e monitorare l’integrità dei sistemi air-gapped. Difese più avanzate possono includere analisi delle emissioni EM, rilevamento di pattern grafici anomali, restrizioni sulle applicazioni autorizzate a controllare il framebuffer e controlli sugli output video in ambienti classificati. In alcuni casi può essere utile ridurre la complessità delle postazioni isolate, separare terminali di visualizzazione e sistemi che trattano dati critici, o introdurre procedure di revisione per ogni componente periferico. TrojPix conferma che la sicurezza degli air-gap non dipende da una singola misura, ma dalla combinazione di isolamento, controllo fisico e sorveglianza tecnica.
La ricerca sui canali laterali ridefinisce il concetto di isolamento
La presentazione di TrojPix a USENIX Security 2026 rafforza un messaggio ormai consolidato nella sicurezza avanzata: ogni componente fisico può diventare un canale di comunicazione se un attaccante riesce a controllarne il comportamento in modo sufficientemente preciso. Gli air-gap restano indispensabili in molti ambienti critici, ma devono essere progettati sapendo che emissioni elettromagnetiche, segnali ottici, vibrazioni, audio, consumi energetici e periferiche possono creare vie indirette per l’esfiltrazione. La ricerca accademica contribuisce a rendere visibili questi rischi prima che diventino tecniche operative mature in campagne reali. Per governi, industria e operatori di infrastrutture critiche, il valore di TrojPix non è soltanto nella dimostrazione tecnica, ma nella spinta a ripensare controlli, architetture e policy. L’isolamento totale non esiste in senso assoluto: esistono livelli di esposizione da misurare, ridurre e monitorare continuamente.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









