Status: vasculhando...

Tilt mostra como peritos varrem celulares e descobrem até informações que dono tentou esconder

Gabriel Francisco Ribeiro De Tilt, em São Paulo

Atenção: o que você fizer no seu celular pode ser usado contra você em um tribunal.

As pegadas digitais guardadas nos smartphones são uma arma essencial de investigadores em processos judiciais. Mantemos tantas informações nos aparelhos, que conseguir acesso ao que está escondido ali pode mudar o curso de um caso.

Ao longo desse texto, Tilt mostrará como os peritos vasculham eletrônicos e recolhem dados úteis para solucionar crimes. E, sim, aquilo que você achou que apagou provavelmente está disponível para ser encontrado.

A ordem vem de cima

É bom deixar claro que técnicas do tipo só podem ser usadas por peritos com autorização judicial. Invadir o celular alheio é crime. No entanto, quando um celular vai para a perícia, as prerrogativas de privacidade do dono do aparelho deixam de valer.

O perito também não pode fazer o que bem entender. Ele deve seguir estritamente o que determina a Justiça, como olhar mensagens trocadas no WhatsApp, checar fotos e arquivos ou conferir localizações por GPS de onde o celular esteve, por exemplo.

"Busca-se algo que se entende como relevante. Já na ordem judicial é preciso dizer por que quer aquela informação. E não é falar 'acho que tem alguma coisa lá'. Precisa existir a suspeita do crime tal e pedir uma apreensão por motivo tal", aponta Evandro Lorens, diretor da APCF (Associação Nacional dos Peritos Criminais Federais).

Mas, caso o perito tropece em um novo crime grave ao longo do processo (como pornografia infantil), ele deve avisar as autoridades policiais.

Perícia em ação

Casos famosos recentes de celulares vasculhados

Caso Queiroz

Mensagens e indícios encontrados em celulares apreendidos da mulher de Fabrício Queiroz, ex-assessor de Flávio Bolsonaro, levaram a investigação a construir um mapa de deslocamento que culminou na descoberta do esconderijo dele na cidade de Atibaia (SP).

Ler mais

Caso Marielle

Informações sobre o assassinato da vereadora Marielle Franco (Psol-RJ), em 2018, vieram dos celulares periciados de Adriano da Nóbrega, Ronnie Lessa e Élcio Queiroz, investigados pela polícia. Uma empresa especializada ajudou a extrair os dados.

Ler mais

Caso Vaza Jato

Manuela D'Ávila (PCdoB-RS) entregou seu celular para perícia depois que veio à público que ela indicou ao site "The Intercept" o hacker responsável pelo vazamento das conversas entre os procuradores da Lava Jato e o juiz Sergio Moro.

Ler mais

Quebrar a senha

Depois que a investigação conseguiu a ordem judicial e apreendeu um aparelho eletrônico, o perito começa a fazer as buscas no celular de acordo com o que está escrito na decisão. A primeira parte do trabalho é desbloqueá-lo o quanto antes — isso serve para colocá-lo no modo avião e desligar itens como wi-fi, GPS e localização, que impedem que comandos remotos (como resetar o celular à distância) afetem a investigação.

Para conseguir acessar os dados, os especialistas contam com programas de computador e cabos especiais que servem para burlar as proteções do sistema operacional do celular —a Justiça não pode obrigar ninguém a fornecer dados que produzam provas contra si.

"Os rootkits [kits de desbloqueio de celulares] trabalham em cima da permissão do aparelho, quebram o processo de autenticação, mudam as permissões e criam um usuário novo. É um programa escrito que identifica propriedades e constrói um caminho novo de acesso. O mais comum permite operar no celular sem precisar passar pela fase de senha, mas depende das vulnerabilidades do sistema", explica Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética).

Quando a polícia não dá conta de invadir o aparelho, ela apela para empresas privadas de soluções digitais, como a israelense Cellebrite, que ajudou a desbloquear os celulares de investigados no assassinato da vereadora Marielle Franco. Essas companhias são dedicadas a achar essas brechas.

Ronen Engler, gerente-sênior da empresa, afirma que seu kit ajuda a resolver 5 milhões de casos por ano e faz sucesso porque é simples de usar. O perito só precisa apertar um botão para ter acesso ao smartphone.

Grau de dificuldade

Já ouviu o papo de que invadir um iPhone é mais difícil que um Android? É verdade. Segundo os especialistas ouvidos por Tilt, a arquitetura fechada da Apple torna o acesso aos seus segredos mais complicado.

"Ganhar o acesso root [controlar o sistema, passando por cima do bloqueio de segurança] é mais trabalhoso no iPhone, porque o processo pode danificar os dados e torná-los inacessíveis", conta Kin.

A dificuldade varia entre sistemas, modelos e marcas. A cada lançamento —e são dezenas deles todos os anos— peritos e as empresas precisam correr para descobrir novas formas de desvendar os modelos e achar brechas. Um iPhone 5 é mais fácil de desbloquear que um iPhone 12, porque o sistema já é mais conhecido.

"Não existe documentação externa disponível do sistema iOS. Tudo é feito na unha. Os laboratórios pegam o modelo que saiu e estudam, usando como base os anteriores. Isso leva mais tempo do que pegar uma arquitetura aberta como Android e ver como o cara adaptou o recurso", conta Evandro Lorens.

Da mesma forma, é mais difícil entrar num celular que num computador, porque os PCs têm três sistemas estáveis e bem definidos de organização (Windows, Linux e MacOS), enquanto o sistema Android é aberto e cada fabricante faz suas próprias configurações.

Mas "não existe sistema totalmente invulnerável", ressalta o diretor da APCF (Associação Nacional dos Peritos Criminais Federais). Daí a importância, para a pessoa dona do celular, de sempre atualizar o sistema.

"Tem todo um mundo das falhas de software, projeto ou código que podem ser encontradas num sistema e exploradas para ganhar acesso. São bugs não documentados ainda, que preservamos internamente para evitar que a fabricante corrija", diz ele.

Decodificar e analisar

A segunda fase é a identificação do que tem guardado no celular. Com ferramentas especializadas, como cabos que transferem dados específicos de um celular para outra máquina, eles puxam e varrem a memória dos aparelhos.

Depois, organizam os arquivos em vídeo, foto e áudio e as extensões em .exe ou .jpg, por exemplo. Isso ajuda a focar num grupo de material, em vez de ter de analisar arquivo a arquivo.

É trabalhoso identificar o que é útil em celulares que ganham cada vez mais espaço para armazenamento. E aqui também é preciso adaptar as ferramentas para cada tipo de modelo. "Precisa quase que de um software específico de extração para cada família ou celular", ressalta Lorens.

Apagou mesmo?

Digamos que o alvo da perícia recebeu uma dica sobre a investigação e começou a deletar arquivos comprometedores do aparelho. Já era? Não necessariamente.

"Mais de 90% dos dados que são deletados dos aplicativos e sistemas continuam no aparelho. Você só move de uma pasta para outra, que funciona como lixeira. Os aplicativos precisam ter certeza que de fato o dado foi deletado, então conforme vai passando o tempo, periodicamente, o próprio aplicativo sobrepõe os arquivos e apaga os antigos", explica Kin.

Nesse ponto, o processo de decodificar e analisar as informações do celular vira uma corrida contra o tempo. Por conta desse processo de sobreposição de arquivos apagados na memória, a cada minuto que passa menos informações sobre a pessoa investigada ficam disponíveis.

Se eu tiver a sorte de não ter a foto sobreposta, eu recupero. Posso até recuperar partes da foto, mas quanto mais tempo demorar, menor a chance de ter sucesso

Evandro Lorens

Dados em apps

Mas, se houver sobreposição, então já era mesmo? Também não. As técnicas vasculham dados de aplicativos, que costumam salvar informações em seus respectivos servidores na nuvem.

"Aplicativos de uso corriqueiro fazem isso: os de carona, como Uber, de mensagens, como Messenger ou Slack, e até os de fitness, como o Fitbit. Um criminoso pode deletar todos os arquivos físicos do celular, mas os investigadores podem ainda assim achar elementos", exemplifica Engler.

O ecossistema do smartphone pode levar investigadores a saber os lugares que você foi em certos dias e horários, pessoas com quem você conversou ou até mesmo o quão rápido seu coração estava batendo em determinado momento.

"São informações cruciais que os investigadores e peritos têm acesso na nuvem e que podem levar a uma condenação. Muitos não entendem que a remoção de um dado físico do dispositivo não significa que ele está perdido para sempre", conta o gerente da Cellebrite.

WhatsApp é essencial

Mas o WhatsApp está protegido pela criptografia ponta a ponta, certo? Não no caso da perícia.

Ela impede, sim, que pessoas de fora leiam suas mensagens, mas as conversas já descriptografadas ficam dentro dos aparelhos. Assim, ao entrar no celular, os peritos vão ver as mesmas informações que uma pessoa comum veria.

Mesmo dados apagados do WhatsApp podem ser recuperados se ainda não tiverem sido sobrepostos no sistema. Um grande trunfo das perícias também costuma ser o backup, que fica fora do WhatsApp, no próprio dispositivo ou em serviços como Google Drive e iCloud.

Nestes casos, é preciso tirar a encriptação, ou seja, decodificar a estrutura que deixou o texto bagunçado e ilegível. Segundo Kin, são poucas empresas que conseguem fazer isso no Brasil, e esse trabalho normalmente é reservado para as polícias.

O mesmo vale para SMS e outros aplicativos de mensagem. Somente no caso das mensagens autodestrutivas de apps como Telegram e Signal os dados são rapidamente sobrepostos e perdidos.

Dá para se esconder da perícia?

Dificilmente dá para fugir dos trabalhos de um perito se houver algo comprometedor no celular, a não ser que se quebre e destrua o aparelho completamente, claro.

Existem algumas possibilidades antiperícia, como programas de criptografia de pastas com chaves fortes. Ainda assim há uma chance dessa criptografia ser quebrada, mesmo que seja quase zero.

Outro método para se esconder dos investigadores é o serviço de "perícia ao contrário". "Por isso os investigadores precisam ir de surpresa apreender o celular, sem avisar. Há riscos, sim, de apagarem as provas", diz Kin.

Nesse ponto, fica o alerta do executivo da Cellebrite: "Nós aconselhamos as pessoas a tratar as ações que tomam nos seus dispositivos com a possibilidade de que seu dado seja acessado".

Topo