From Passive Sniffing to Active Signal Injection: Exploiting Physical Layer Vulnerabilities in 5G New Radio.

5G New Radio introduces unprecedented performance and flexibility, but its Physical layer still exposes critical information and control signals that remain vulnerable to observation and manipulation. This thesis demonstrates that these exposures can be systematically exploitedusing low-cost, open-source tools, enabling both high-fidelity passive analysis and precise active attacks. We develop a custom 5G sniffer capable of decoding control- and user-plane data, and reference signals, providing fine-grained visibility into downlink scheduling, modulation,resource allocation, and channel-state reporting. Using this visibility, we show that passive metadata alone suffices to classify application-level traffic with high accuracy, revealing user behavior despite encrypted payloads. Leveraging frame-synchronized actuation, we then escalate to active attacks. We demonstrate active attacks that force MIMO rank reduction and a DCI spoofing attack that manipulates scheduling decisions and measurably alters UE energy consumption. Both attacks operate without breaking encryption and remain feasible on commercial 5G networks. These findings show that the 5G Physical layer constitutes a practical attack surface, where leakage and manipulability persist despite higher-layer security. The thesis also outlines countermeasures that harden control signaling and detection mechanisms without compromising 5G performance.

Il 5G New Radio introduce prestazioni e flessibilità senza precedenti, ma il suo livello fisico espone ancora informazioni critiche e segnali di controllo che rimangono vulnerabili all'osservazione e alla manipolazione. Questa tesi dimostra che tali vulnerabilità possono essere sfruttate sistematicamente utilizzando strumenti open-source a basso costo, consentendo sia un'analisi passiva ad alta fedeltà che attacchi attivi mirati. Sviluppiamo uno sniffer 5G in grado di decodificare i dati del piano di controllo e del piano utente, nonché i segnali di riferimento, fornendo una visibilità dettagliata sulla pianificazione del downlink, la modulazione, l'allocazione delle risorse e la segnalazione. Utilizzando questa visibilità, dimostriamo che i soli metadati passivi sono sufficienti per classificare il traffico a livello applicativo con elevata precisione, rivelando il comportamento dell'utente nonostante i payload crittografati. Sfruttando l'attuazione sincronizzata con i frame, passiamo quindi ad attacchi attivi. Dimostriamo attacchi attivi che forzano la riduzione del rank indicator e un attacco di spoofing DCI che manipola le decisioni di pianificazione e altera in modo misurabile il consumo energetico dell'UE. Entrambi gli attacchi operano senza violare la crittografia e rimangono fattibili sulle reti 5G commerciali. Questi risultati dimostrano che il livello fisico del 5G costituisce una superficie di attacco vulnerabile, dove la fuga di informazioni e la manipolabilità persistono nonostante la sicurezza dei livelli superiori. La tesi delinea inoltre contromisure che rafforzano i meccanismi di segnalazione e rilevamento del controllo senza compromettere le prestazioni del 5G.