Nach Angaben der Forscher basiert TrojPix auf einer „unmerklichen Pixelmodulation“. Dafür sind weder Administratorrechte noch Hardwareänderungen nötig; es genügt Schadsoftware auf Benutzerebene, die Inhalte auf dem Bildschirm darstellen kann. Das Verfahren dient damit nicht dazu, in ein isoliertes System einzudringen, sondern gestohlene Daten wieder herauszubekommen.
Die Leistungsdaten fallen für einen verdeckten Air-Gap-Kanal ungewöhnlich hoch aus. In den Versuchen lag die maximale Datenrate bei 8,1 Mbit/s, also ungefähr einem Megabyte pro Sekunde. Ein 100-MB-Datei ließe sich damit in weniger als zwei Minuten übertragen. Die maximale Distanz lag laut Forschungsteam bei 208 Metern, allerdings wurden Durchsatz und Reichweite getrennt voneinander ermittelt. Wie weit das Verfahren außerhalb des Labors tatsächlich trägt, hängt zudem von Wänden, Abschirmung und Störquellen ab.
Beschrieben werden zwei Varianten, um die Übertragung zu verbergen. Eine simuliert einen ausgeschalteten Bildschirm und hält die Anzeige dunkel, während gesendet wird. Die andere bettet das Signal in ohnehin sichtbare Bildinhalte ein, sodass normale Bildschirmdarstellung zugleich die Nutzdaten trägt.
Das Team berichtet außerdem, TrojPix funktioniere mit neun Monitormarken und 15 Videokabeln. Das Ergebnis sei damit nicht auf eine einzelne Konfiguration beschränkt. Neu ist die Grundidee eines Videokabels als verdeckter Sender allerdings nicht: Sie steht in der Tradition der seit Jahrzehnten bekannten Forschung zu kompromittierenden Abstrahlungen, die unter dem Begriff TEMPEST zusammengefasst wird.
Als jüngeres Beispiel nennt der Quelltext TEMPEST-LoRa aus CCS 2025. Dort wurde derselbe Grundmechanismus genutzt, um handelsübliche LoRa-Funkempfänger zu erreichen. Dieses Verfahren kam auf 87,5 Meter oder 21,6 Kbit/s. TrojPix erreicht bei der Spitzendatenrate ein Vielfaches davon, wobei die Werte laut Quelltext nicht direkt vergleichbar sind, weil unterschiedliche Empfänger unter unterschiedlichen Bedingungen eingesetzt wurden.
Die Autoren ordnen solche Emissionskanäle dennoch als Laborarbeit ein. Bekannte Air-Gap-Angriffe aus der Praxis, von Stuxnet bis Agent.BTZ, hätten die Trennung per USB-Datenträger überwunden und nicht über Funkabstrahlung. TrojPix und ähnliche Techniken zeigten daher vor allem, was möglich ist, nicht was bislang nachgewiesen wurde. Als weiteres bildschirmbasiertes Beispiel verweist der Quelltext auf PIXHELL, das 2024 behandelt wurde und den Bildschirm selbst zur Schallerzeugung nutzte, um Daten aus einem isolierten PC auszuleiten.
Ein Software-Patch kann die Abstrahlung selbst laut Quelltext nicht beseitigen. Genannt werden stattdessen physische und präventive Gegenmaßnahmen: Videoverbindungen über Glasfaser statt Kupfer, weil darüber kein entsprechendes Signal abgestrahlt wird, sowie die Abschirmung von Kabeln und Räumen, wie sie in TEMPEST-zertifizierten Umgebungen bereits üblich ist. Entscheidend bleibt nach Darstellung der Forscher jedoch, Schadsoftware gar nicht erst auf das System zu lassen, denn ohne diesen Ausgangspunkt hat TrojPix nichts zu senden.
