Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation

Diese Studie untersucht die Auswirkungen logischer Schwachstellen in 5G-Standalone-Netzen auf die UAV-Kommunikation und zeigt durch Testbed-Evaluationen, wie Angriffe von verschiedenen Positionen aus die Steuerung und Datenübertragung von Drohnen beeinträchtigen können, was verstärkte Isolationsmaßnahmen und Integritätsschutz erfordert.

Das Wesentliche

Stellen Sie sich vor, Sie steuern einen kleinen, ferngesteuerten Drohnen-Helikopter. Normalerweise steuern Sie ihn mit einer simplen Fernbedienung über Funk. Aber in dieser Studie geht es um Drohnen, die über das 5G-Netzwerk (das gleiche, das wir für unsere Smartphones nutzen) gesteuert werden. Das klingt supermodern und schnell, aber die Forscher haben herausgefunden, dass es dabei ein paar gefährliche „Löcher" im System gibt.

Hier ist die einfache Erklärung der Studie, mit ein paar anschaulichen Vergleichen:

Das Grundproblem: Ein offenes Haus

Stellen Sie sich das 5G-Netzwerk wie ein riesiges, hochmodernes Bürogebäude vor.

• Die Drohne ist ein Mitarbeiter, der wichtige Nachrichten (Steuerbefehle) vom Bodenpersonal (dem Piloten) bekommt.
• Das 5G-Netzwerk ist das Gebäude selbst, das diese Nachrichten transportiert.

Die Forscher haben drei verschiedene Szenarien untersucht, wie ein Bösewicht dieses System stören kann.

---

Szenario 1: Der „Verräter" im selben Büro (Der böse UE)

Die Situation:
Stellen Sie sich vor, die Drohne und der Pilot sitzen im selben großen Raum (demselben „Netzwerk-Slice"). Ein dritter Mann, der Bösewicht, sitzt auch in diesem Raum. Er hat keinen Schlüssel zum Gebäude, aber er ist einfach da.

Der Angriff:
Da alle im selben Raum sind, kann der Bösewicht direkt mit der Drohne sprechen. Das Problem ist: Die Drohne vertraut jedem, der sich als „Chef" ausgibt.

• Die Analogie: Der Bösewicht zieht einen Anzug an, der genau wie der des Piloten aussieht, und ruft laut: „Ich bin der Chef! Lande sofort!"
• Was passiert: Da die Drohne nicht prüft, ob die Stimme wirklich vom echten Chef kommt (fehlende digitale Unterschrift), gehorcht sie dem Betrüger. Sie landet mitten in der Luft oder fliegt in die falsche Richtung. Der echte Pilot kann nichts dagegen tun, weil die Drohne den falschen Befehl schon ausgeführt hat.

Szenario 2: Der „Hausmeister" mit dem Master-Schlüssel (Der Insider im Kern)

Die Situation:
Stellen Sie sich vor, der Bösewicht ist kein Gast, sondern hat Zugang zum Keller des Gebäudes, wo die gesamte Technik und die Leitungen liegen (das 5G-Kernnetz). Er ist vielleicht ein unzufriedener Mitarbeiter oder jemand, der sich einen Schlüssel erschlichen hat.

Der Angriff:
Von dort aus kann er direkt in die Leitungen greifen, die die Daten von der Drohne zum Piloten transportieren.

• Die Analogie: Der Bösewicht steht im Maschinenraum und reißt einfach die Stromkabel heraus, die die Verbindung zwischen Pilot und Drohne halten. Oder er schickt ein Signal: „Verbindung getrennt!"
• Was passiert: Die Drohne verliert den Kontakt zum Piloten. Da sie unsicher ist, was sie tun soll, fliegt sie automatisch zurück zum Startpunkt oder stürzt ab. Der Bösewicht muss die Drohne gar nicht direkt steuern; er muss nur die Verbindung unterbrechen.

Szenario 3: Der „gekaperte" Funkmast (Der kompromittierte gNodeB)

Die Situation:
Das ist der tückischste Fall. Stellen Sie sich vor, der Bösewicht hat einen der großen Funkmasten (gNodeB) gekauft oder gehackt. Dieser Mast sieht völlig normal aus und gehört zum offiziellen Netz, aber er ist unter seiner Kontrolle.

Der Angriff:
Alle Nachrichten, die vom Piloten zur Drohne gehen, müssen durch diesen Mast laufen.

• Die Analogie: Der Pilot schreibt einen Brief an die Drohne: „Fliege nach Norden". Der Brief geht durch den Funkmast des Bösewichts. Der Bösewicht öffnet den Brief, ändert das Wort „Norden" in „Süden" (oder in eine Falle) und versiegelt den Brief wieder. Der Pilot sieht nichts davon, und die Drohne liest nur den geänderten Befehl.
• Was passiert: Die Drohne fliegt genau dorthin, wo der Bösewicht will, während der Pilot denkt, er steuere sie perfekt. Das ist besonders gefährlich, weil die Verschlüsselung oft nur bis zum Mast reicht. Im Mast selbst ist der Inhalt des Briefes für den Angreifer sichtbar und änderbar.

---

Was ist die Lösung? (Die Lehren der Studie)

Die Forscher haben in ihrem Labor (dem „Testbed") bewiesen, dass diese Angriffe funktionieren. Um das zu verhindern, schlagen sie drei Dinge vor:

1. Ausweisprüfung (Signierung): Die Drohne sollte nicht nur auf den Befehl hören, sondern auch prüfen: „Hast du wirklich den richtigen Ausweis?" (Wie eine digitale Unterschrift). Nur dann würde sie den Befehl „Lande sofort!" von einem Betrüger ignorieren.
2. Sichere Leitungen (Verschlüsselung im Kern): Die Leitungen im Keller (das Kernnetz) sollten so gesichert sein, dass niemand sie einfach unterbrechen oder manipulieren kann, selbst wenn er dort ist.
3. Trennung der Räume: Die Drohne sollte in einem eigenen, abgeschotteten Raum fliegen, in den keine anderen Geräte (wie das Handy des Bösewichts) einfach so hineinschauen können.

Fazit

Die Studie sagt im Grunde: 5G ist schnell und toll, aber es ist nicht automatisch sicher. Wenn wir Drohnen damit steuern, müssen wir sicherstellen, dass die Drohne nicht nur schnell ist, sondern auch „klug" genug, um Betrüger zu erkennen und dass die Leitungen, über die sie fliegt, nicht einfach manipuliert werden können. Sonst könnte ein Hacker mitten im Flug die Kontrolle übernehmen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation" auf Deutsch:

1. Problemstellung

Unbemannte Luftfahrzeuge (UAVs) sind für ihre Steuerung und Telemetrie zunehmend auf mobile Netzwerke angewiesen. 5G-Standalone-Netzwerke (SA) bieten zwar geringe Latenz und hohe Bandbreite, was sie ideal für UAV-Anwendungen macht, jedoch birgt die Architektur spezifische logische Schwachstellen. Das Paper identifiziert das Hauptproblem darin, dass die 5G-Architektur an verschiedenen Punkten (Endgeräte, Kernnetz, Zugangsknoten) angreifbar ist und diese Angriffe die Integrität, Vertraulichkeit und Verfügbarkeit der UAV-Steuerung (Command and Control, C2) direkt beeinträchtigen können.

Insbesondere werden folgende Risiken hervorgehoben:

• Fehlende Isolation zwischen Geräten innerhalb desselben logischen Netzwerks (Slice/DNN).
• Mangelnde kryptografische Absicherung interner Schnittstellen im Kernnetz (z. B. N4).
• Fehlende Integritätsschutzmechanismen auf der User Plane (N3-Schnittstelle/GTP-U), was Manipulationen durch kompromittierte Basisstationen ermöglicht.

2. Methodik

Die Autoren entwickelten ein experimentelles Testbed, um drei spezifische Bedrohungsmodelle in einer kontrollierten Umgebung zu evaluieren.

• Testbed-Architektur:

  • Infrastruktur: Kubernetes-Cluster (Kind) zur Orchestrierung.
  • 5G-Core: Implementierung mit Open5GS (enthält AMF, SMF, UPF, UDM, etc.).
  • Zugangsschicht: Simulation mit UERANSIM (gNodeB und UE-Emulatoren).
  • Szenario: Ein UAV (simuliert mit MAVLink), eine Ground Control Station (GCS) und ein bösartiger Akteur (Rogue UE oder Insider) in einem 5G-SA-Netzwerk mit einem einzigen Slice (SST 1, SD 0x111111) und DNN „internet".

• Bedrohungsmodelle:

  1. Bösartiges UE (Rogue UE): Ein Gerät im selben Slice/DNN wie das UAV, das keine Autorisierung benötigt, um auf das UAV zuzugreifen.
  2. Insider-Bedrohung: Ein Angreifer mit Zugriff auf das 5G-Kernnetz (insbesondere die N4-Schnittstelle zwischen SMF und UPF), aber ohne Funkhardware.
  3. Kompromittierte gNodeB: Ein Basisstation, die Teil des legitimen Netzes ist, aber vom Angreifer kontrolliert wird und den Datenverkehr entschlüsseln/manipulieren kann.

3. Schlüsselbeiträge und Angriffsvektoren

Das Paper beschreibt und demonstriert konkrete Angriffe für jedes Modell:

A. Bedrohungsmodell 1: Rogue UE (Lateral Movement & C2 Injection)

• Vulnerabilität: In 5G-LAN-Typ-Szenarien teilen sich UEs im selben Slice oft denselben Adressraum. Da MAVLink-Protokolle (z. B. in ArduPilot/PX4) standardmäßig keine Signaturprüfung verwenden, ist keine Authentifizierung zwischen GCS und UAV erforderlich.
• Angriff: Der Angreifer scannt das Netzwerk (Port 14550/UDP), identifiziert das UAV und sendet gefälschte Heartbeats sowie Befehle (z. B. MAV_CMD_NAV_LAND).
• Ergebnis: Das UAV akzeptiert die Befehle des Angreifers als legitime GCS-Befehle (System-ID 255), was zu einer erzwungenen Landung und Missionsbeendigung führt. Die Integrität und Verfügbarkeit sind kompromittiert.

B. Bedrohungsmodell 2: Insider (N4 Interface Exploitation)

• Vulnerabilität: Die N4-Schnittstelle (PFCP-Protokoll) zwischen SMF und UPF wird oft als „vertrauenswürdig" betrachtet und nicht kryptografisch (z. B. via IPsec) geschützt.
• Angriff: Der Insider sendet eine Flut von Session Deletion Request-Nachrichten an die UPF, indem er SEIDs (Session Endpoint Identifiers) brute-forct.
• Ergebnis: Die UPF akzeptiert die Anfragen und löscht die PDU-Sessions der UAV oder GCS. Dies führt zum Zusammenbruch der GTP-U-Tunnel, wodurch das UAV in den Failsafe-Modus (Rückkehr zum Startpunkt) wechselt und die Verbindung unterbrochen wird.

C. Bedrohungsmodell 3: Kompromittierte gNodeB (Data Tampering)

• Vulnerabilität: Die gNodeB entschlüsselt den Datenverkehr an der Luftschnittstelle. Die N3-Schnittstelle (GTP-U zwischen gNB und UPF) bietet oft keinen Integritätsschutz.
• Angriff: Der Angreifer manipuliert den GTP-U-Payload direkt in der gNodeB. Er fängt MAVLink-Nachrichten (z. B. SET POSITION TARGET LOCAL NED) ab, ändert die Zielkoordinaten und injiziert die manipulierten Pakete zurück in den Tunnel.
• Ergebnis: Das UAV fliegt zu den vom Angreifer gewählten Koordinaten, während die GCS glaubt, den ursprünglichen Befehl gesendet zu haben. Dies ist ein klassischer „Man-in-the-Middle"-Angriff auf der Anwendungsebene, der durch fehlende End-to-End-Integrität ermöglicht wird.

4. Ergebnisse

Die Experimente im Testbed bestätigten, dass logische Schwachstellen in 5G-SA-Netzen UAV-Operationen kritisch gefährden können:

• Isolationsmangel: Geräte im selben Slice können direkt kommunizieren und sich gegenseitig angreifen, wenn keine zusätzlichen Filterregeln existieren.
• Kernnetz-Risiko: Unverschlüsselte interne Schnittstellen (N4) ermöglichen die Zerstörung von Verbindungen ohne Kenntnis von Benutzerdaten oder Schlüsseln.
• Zugangsknoten-Risiko: Kompromittierte Basisstationen können den Datenverkehr in Echtzeit manipulieren, da die Integrität auf der User Plane (N3) oft fehlt.
• Anwendungsschicht: Das Fehlen von Signaturprüfungen in UAV-Steuerprotokollen (MAVLink) macht die Systeme anfällig für Spoofing und Befehlsinjektion, selbst wenn das Netzwerk teilweise gesichert ist.

5. Bedeutung und Empfehlungen

Das Paper unterstreicht, dass die Sicherheit von UAV-Kommunikation nicht allein durch die 5G-Infrastruktur gewährleistet werden kann, sondern eine mehrschichtige Schutzstrategie erfordert:

1. Netzwerkisolation: Strikte Trennung von Datenströmen und Anwendung von Isolationsrichtlinien innerhalb von Slices, um direkten Zugriff zwischen UEs zu verhindern.
2. Kernnetz-Sicherheit: Aktivierung von gegenseitiger Authentifizierung und Integritätsschutz (z. B. IPsec/TLS) für interne Schnittstellen wie N4, um Insider-Bedrohungen abzuwehren.
3. User-Plane-Schutz: Implementierung von Integritätsschutz auf der N3-Schnittstelle (GTP-U), um Manipulationen durch kompromittierte gNodeBs zu erkennen.
4. Anwendungssicherheit: Zwingende Nutzung von Signaturmechanismen (z. B. MAVLink Signing) in den UAV-Steuerprotokollen, um die Authentizität und Integrität der Befehle unabhängig vom Transportnetzwerk zu garantieren.

Fazit: Die Studie zeigt, dass 5G-SA-Netze zwar leistungsfähig sind, aber ohne zusätzliche Sicherheitsmaßnahmen auf allen Ebenen (Netzwerk, Kern, Anwendung) erhebliche Risiken für kritische UAV-Anwendungen darstellen.