Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation

Este artigo avalia o impacto de vulnerabilidades lógicas em redes 5G SA sobre a comunicação de UAVs, utilizando um testbed baseado em Open5GS e Kubernetes para demonstrar como ataques em diferentes pontos da arquitetura podem comprometer operações e destacar a necessidade de isolamento e proteção de integridade.

O essencial

Imagine que um drone é como um pássaro de metal que precisa de um "chefe" em terra (a estação de controle) para saber para onde voar. Antigamente, esse chefe usava um rádio direto. Hoje, com o 5G, eles se comunicam através de uma "torre de celular" super rápida e inteligente, como se estivessem usando um aplicativo de mensagens ultra-rápido.

Este artigo de pesquisa é como um filme de detetive onde os autores tentam descobrir: "O que acontece se alguém mal-intencionado hackear essa torre de celular ou o próprio aplicativo de mensagens?"

Eles construíram um laboratório de testes (um "mundo de brinquedo" digital) para simular três tipos de vilões e ver o que eles conseguem fazer com o drone. Vamos conhecer os três cenários:

1. O Vizinho Malandro (O Dispositivo Inimigo na Mesma Rede)

A Analogia: Imagine que você e seu vizinho estão usando o mesmo Wi-Fi público de um parque. Se o parque não tiver regras de privacidade, seu vizinho pode ver o que você está fazendo e até enviar mensagens fingindo ser você.

• O Cenário: Um hacker conecta seu próprio dispositivo à mesma "fatia" da rede 5G que o drone e o piloto estão usando.
• O Ataque: Como o drone e o piloto não usam uma "assinatura digital" forte no seu aplicativo de controle (MAVLink), o hacker se disfarça. Ele envia mensagens dizendo: "Olá, sou o piloto! Desça agora!" ou "Pouse aqui!".
• O Resultado: O drone, achando que é o dono falando, obedece e pousa no meio da rua, mesmo que o piloto real esteja gritando para ele continuar voando. O drone foi "sequestrado" por um estranho no mesmo bairro digital.

2. O Funcionário Corrupto da Empresa de Telefonia (Ameaça Interna)

A Analogia: Imagine que a empresa de telefonia é um banco. O hacker não está na rua; ele está dentro do cofre, no escritório do gerente, onde ninguém suspeita. Ele tem as chaves mestras para abrir ou fechar contas.

• O Cenário: O hacker já está dentro do "cérebro" da rede 5G (o núcleo da rede). Ele tem acesso aos sistemas que gerenciam as conexões.
• O Ataque: Ele não precisa fingir ser o piloto. Ele simplesmente vai ao sistema e diz: "Apague a conexão do drone" ou "Feche a linha de comunicação". É como se ele desligasse o telefone do piloto e do drone ao mesmo tempo.
• O Resultado: O drone perde o contato com o piloto. Por segurança, ele entra em "modo de emergência" e volta para casa ou pousa sozinho. A missão falha não porque o drone quebrou, mas porque a "linha telefônica" foi cortada por dentro.

3. A Torre de Celular Hackeada (O Guardião Traído)

A Analogia: Pense na torre de celular como um carteiro que entrega suas cartas. Normalmente, a carta vai em um envelope fechado (criptografado) do remetente até o destinatário. Mas, neste caso, o carteiro (a torre) é o único que pode abrir o envelope para entregar a carta. Se o carteiro for mal-intencionado, ele pode ler a carta, rasgar um pedaço, escrever outra coisa e entregar como se nada tivesse acontecido.

• O Cenário: O hacker não está no computador do piloto, nem no banco de dados da empresa. Ele hackeou a própria torre de celular que o drone está usando.
• O Ataque: O drone envia um comando: "Voe para o ponto A". A torre recebe, abre o "envelope" (porque precisa para entregar), vê o comando, e o hacker o altera para: "Voe para o ponto B (onde está o vilão)". Ele fecha o envelope de novo e entrega. O drone recebe a ordem falsa e obedece.
• O Resultado: O piloto acha que mandou o drone para o ponto A, mas o drone vai para o ponto B. O drone foi desviado sem que ninguém percebesse, porque a "torre" estava mentindo.

O Que os Autores Descobriram?

O estudo mostra que o 5G é rápido e incrível, mas tem falhas de lógica se não for configurado com cuidado:

1. Isolamento é chave: Se todos estiverem na mesma "rede" sem barreiras, vizinhos podem se intrometer.
2. O "Cofre" não é invencível: Se os sistemas internos da operadora não tiverem senhas fortes (criptografia), um funcionário ou hacker interno pode apagar conexões.
3. A torre não é cega: Se a comunicação entre o drone e a torre não tiver "selos de integridade", a torre pode alterar o que está escrito na carta sem que ninguém saiba.

A Lição Final

Para proteger drones no futuro, não basta ter uma rede 5G rápida. É preciso:

• Trancar a porta de casa: Usar assinaturas digitais fortes no aplicativo do drone (para que ele saiba que a ordem veio realmente do piloto).
• Proteger o cofre: Garantir que os sistemas internos da operadora de telefonia tenham criptografia forte.
• Vigiar o carteiro: Garantir que a comunicação entre o drone e a torre seja verificada para que ninguém possa alterar a mensagem no caminho.

Em resumo: Velocidade sem segurança é como um carro de Fórmula 1 sem freios. Você chega rápido, mas pode acabar se estatelando contra a parede se alguém mudar a direção no meio do caminho.

Resumo técnico

Aqui está um resumo técnico detalhado do artigo "Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation", baseado no conteúdo fornecido:

1. Problema Investigado

O artigo aborda a vulnerabilidade das comunicações de comando e controle (C2) de Veículos Aéreos Não Tripulados (UAVs) quando operam sobre redes 5G Standalone (SA). Embora o 5G ofereça baixa latência e alta capacidade, a arquitetura de rede introduz pontos de falha lógicos que podem ser explorados para comprometer a segurança da missão.

O problema central é que a arquitetura 5G, por padrão, nem sempre garante isolamento estrito entre dispositivos no mesmo slice (fatia de rede) ou DNN (Data Network Name), e interfaces internas críticas (como N4 entre SMF e UPF) ou segmentos de transporte (N3/GTP-U) podem não possuir proteção criptográfica robusta (integridade/confidencialidade) em muitas implementações operacionais. Isso expõe os UAVs a ataques que podem levar ao sequestro de controle, interrupção de sessão ou alteração de dados de navegação.

2. Metodologia

Os autores desenvolveram um ambiente de teste (testbed) controlado para simular e validar cenários de ataque. A metodologia incluiu:

• Arquitetura do Testbed: Implementação de uma rede 5G SA completa utilizando Open5GS (para as funções do núcleo: AMF, SMF, UPF), UERANSIM (para simular gNodeB e dispositivos UE) e Kubernetes (para orquestração de contêineres).
• Configuração de Cenário:
  • Três dispositivos UE: UAV (simulador MAVLink), Estação de Controle Terrestre (GCS) e um Agente Malicioso (ROGUE).
  • Uso de um único slice (SST 1, SD 0x111111) e DNN compartilhado para permitir comunicação lateral.
  • Configuração de PLMN (MCC 999, MNC 70).
• Modelos de Ameaça: Foram analisados três vetores de ataque distintos:
  1. UE Malicioso (Rogue): Dispositivo conectado ao mesmo slice e DNN que o UAV.
  2. Ameaça Interna (Insider): Adversário com acesso ao núcleo da rede (interface N4 entre SMF e UPF).
  3. gNodeB Comprometido: Uma estação base legítima controlada pelo atacante, capaz de manipular o tráfego de usuário (GTP-U).

3. Contribuições Principais e Ataques Realizados

O artigo detalha a execução e os resultados de três modelos de ataque específicos:

A. Modelo de Ameaça 1: Injeção de C2 via UE Malicioso (Spoofing)

• Vetor: O atacante explora a falta de isolamento no plano de usuário e a ausência de assinatura (signing) no protocolo de aplicação (MAVLink).
• Execução: O UE malicioso realiza varredura de portas (UDP 14550), identifica o UAV e se passa pela estação de controle (GCS) usando o ID de sistema padrão (255).
• Resultado: O atacante injeta comandos de aterrissagem (MAV_CMD_NAV_LAND) em alta frequência, vencendo a "corrida" contra os comandos legítimos. O UAV aceita os comandos maliciosos e aterrissa forçadamente, comprometendo a confidencialidade, integridade e disponibilidade.
• Fator Chave: A falha não foi na rede 5G em si, mas na falta de autenticação na camada de aplicação (MAVLink sem assinatura).

B. Modelo de Ameaça 2: Ameaça Interna (Ataque à Interface N4)

• Vetor: O atacante tem acesso à interface N4 (PFCP), que gerencia as sessões PDU e túneis GTP-U entre o SMF e o UPF. Em muitas configurações, essa interface não possui proteção criptográfica mútua.
• Execução: O atacante se associa ao UPF e envia um fluxo massivo de solicitações de deleção de sessão (Session Deletion Request) com diferentes SEIDs (Session IDs), forçando o UPF a encerrar os túneis de dados.
• Resultado: A sessão PDU do UAV é encerrada, o túnel GTP-U é destruído e o UAV entra em modo de segurança (failsafe), retornando ao ponto de origem ou pousando, interrompendo a missão.
• Fator Chave: A confiança implícita na interface interna da rede e a falta de autenticação mútua no protocolo PFCP.

C. Modelo de Ameaça 3: Manipulação de Dados via gNodeB Comprometido

• Vetor: Controle de uma estação base (gNB) legítima que termina a criptografia do ar (PDCP). O atacante inspeciona e modifica o tráfego no túnel GTP-U (interface N3), que frequentemente não possui integridade criptográfica.
• Execução: O atacante intercepta comandos de navegação (ex: SET POSITION TARGET LOCAL NED) enviados pelo GCS. Ele decapsula o pacote, altera as coordenadas de destino para valores maliciosos e reencapsula o tráfego antes de enviar ao UAV.
• Resultado: O UAV executa a manobra para as coordenadas falsas, enquanto o operador na GCS acredita que o comando original foi executado. Isso constitui um ataque de sequestro de navegação (Data Manipulation).
• Fator Chave: A ausência de proteção de integridade no plano de usuário (N3/GTP-U) e a falta de verificação de origem na camada de aplicação.

4. Resultados e Observações

• Impacto Operacional: Todos os três modelos de ataque foram bem-sucedidos em interromper ou desviar a operação do UAV no ambiente de teste.
• Dependência de Camadas Múltiplas: A segurança do UAV não depende apenas da rede 5G. A vulnerabilidade é sistêmica:
  • Falhas no isolamento de slices permitem ataques laterais.
  • Interfaces internas desprotegidas permitem o colapso de sessões.
  • Falta de integridade no transporte (N3) e na aplicação (MAVLink) permite a manipulação de dados.
• Eficácia de Mitigação Simples: A ativação de assinaturas (signing) no MAVLink e o uso de autenticação mútua nas interfaces internas (N4) e de transporte (N3) são essenciais para neutralizar esses vetores.

5. Significância e Conclusão

O estudo demonstra que a adoção de redes 5G para operações críticas de UAVs (como BVLOS - Beyond Visual Line of Sight) exige uma abordagem de segurança em camadas. A confiança cega na infraestrutura de rede é insuficiente.

Recomendações Finais:

1. Isolamento Rigoroso: Configurar políticas estritas de isolamento entre UEs no mesmo slice ou DNN.
2. Proteção de Interfaces Internas: Implementar autenticação mútua e criptografia (IPsec/TLS) em interfaces como N4 e N9, mesmo que sejam consideradas "confiáveis".
3. Integridade no Plano de Usuário: Habilitar integridade (e opcionalmente confidencialidade) no segmento N3 (entre gNB e UPF).
4. Segurança na Aplicação: É imperativo que os protocolos de controle de UAV (como MAVLink) utilizem mecanismos de assinatura digital e autenticação de ponta a ponta, independentemente da segurança da rede subjacente.

O trabalho fornece evidências empíricas de que vulnerabilidades lógicas em redes 5G SA podem ser exploradas para comprometer missões de UAVs, destacando a necessidade urgente de reforçar a segurança tanto na infraestrutura de rede quanto nos protocolos de aplicação.