Quais são as perícias que podem ser realizadas nos smartphones Apple Iphone e Android? 

A análise forense em dispositivos móveis é um dos campos mais dinâmicos e desafiadores da computação forense. Na elaboração de laudos periciais e na atuação como assistente técnico para escritórios de advocacia, é fundamental delimitar com precisão o escopo do que pode ser extraído e analisado.

As perícias em smartphones Apple (iOS) e Android dividem-se, estruturalmente, nos métodos de extração e nas análises dos artefatos digitais.

 

Níveis de Extração de Dados

O sucesso da perícia depende do estado do dispositivo (bloqueado, desbloqueado, BFU - Before First Unlock, ou AFU - After First Unlock) e do nível de acesso possível.

  • Extração Lógica: Interage com o sistema operacional via APIs padrão (como o iTunes/Finder no iOS ou ADB no Android). Extrai dados visíveis ao usuário, como contatos, SMS, registros de chamadas e mídias, mas não recupera arquivos apagados de forma profunda.

  • Extração de Sistema de Arquivos (Full File System - FFS): Requer escalonamento de privilégios (root no Android ou jailbreak/exploits no iOS). Permite o acesso a bancos de dados ocultos do sistema e de aplicativos de terceiros (ex: arquivos .sqlite do WhatsApp). É o padrão ouro para investigações complexas hoje em dia.

  • Extração Física: Consiste na cópia bit a bit da memória flash (NAND/eMMC/UFS). Embora permita a técnica de data carving para recuperar dados apagados, tornou-se extremamente limitada em dispositivos modernos de ambas as plataformas devido à Criptografia Baseada em Arquivo (FBE) e Criptografia de Disco Inteiro (FDE). Pode ser realizada via JTAG, Chip-Off ou modos de fábrica (como o EDL da Qualcomm no Android).

 

Tipos de Análises e Exames Periciais

Uma vez extraídos os dados, a engenharia reversa e a análise dos artefatos permitem responder aos quesitos formulados no processo:

  • Análise de Comunicações e Mensageiros: Recuperação e correlação de mensagens do WhatsApp, Telegram, Signal, SMS e e-mails. Isso inclui a análise de bancos de dados SQLite e arquivos Write-Ahead Log (WAL) para resgatar mensagens deletadas ou adulteradas.

  • Geolocalização e Rastreamento: Extração de coordenadas GPS de fotos (metadados EXIF), registros de conexão de redes Wi-Fi, torres de celular (Cell ID) e logs de sistema (como o Significant Locations da Apple ou o Google Timeline no Android) para traçar a linha do tempo e o trajeto do indivíduo.

  • Análise de Multimídia: Autenticação de imagens, áudios e vídeos para detectar manipulações, deepfakes ou cortes estruturais. Inclui também o cálculo de hash para identificação de material ilícito (como CSAM).

  • Auditoria de Aplicativos Financeiros e Web: Verificação de logs de sessão, tokens de acesso, histórico de navegação e cache de aplicativos bancários, muito comum em litígios envolvendo fraudes financeiras e roubo de credenciais.

  • Detecção de Malware e Stalkerware: Identificação de aplicativos espiões, cavalos de troia ou softwares de monitoramento comercializados para espionagem corporativa ou conjugal.

  • Análise de Dados de Saúde e Sensores: Uso de dados do Apple Health ou Google Fit (pedômetros, batimentos cardíacos) que podem confirmar ou refutar álibis físicos.

 

Peculiaridades: Apple (iOS) vs. Android

Ao planejar a metodologia do exame e as ferramentas a serem utilizadas (como Cellebrite UFED, Magnet AXIOM, Oxygen Forensic), as diferenças arquitetônicas são determinantes:

Apple iPhone (iOS):

  • Ecossistema Fechado: O hardware e o software são estritamente controlados. O Secure Enclave gerencia as chaves de criptografia, tornando ataques de força bruta no PIN extremamente difíceis.

  • Keychain: Armazena senhas, tokens de rede e credenciais de forma altamente protegida. A extração completa do Keychain geralmente requer um FFS.

  • Estados BFU e AFU: Um iPhone no estado BFU (desligado e ligado sem nunca ter sido desbloqueado) fornece dados limitados. No estado AFU (já desbloqueado pelo menos uma vez após ser ligado), as chaves de criptografia estão na memória RAM, permitindo uma extração muito mais rica.

 

Google Android:

  • Fragmentação: A vasta gama de fabricantes (Samsung, Motorola, Xiaomi) e chipsets (Qualcomm, MediaTek, Exynos) exige abordagens diversificadas. Um exploit que funciona em um processador pode não funcionar em outro.

  • Secure Startup e Knox: Dispositivos como os da Samsung possuem o Knox, um contêiner de segurança em nível de hardware. Acionar proteções anti-tamper (como o e-fuse do Knox) durante a perícia pode destruir o acesso aos dados para sempre.

  • Modos de Baixo Nível: Ferramentas forenses muitas vezes exploram modos de emergência dos processadores (como o Emergency Download Mode - EDL) para contornar bloqueios de tela e extrair o firmware.

Garantir o isolamento do dispositivo da rede (gaiola de Faraday ou modo avião) imediatamente no momento da apreensão é o passo crítico inicial para qualquer uma dessas análises, assegurando a integridade da prova e a manutenção da cadeia de custódia.