FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS
FORENSE DIGITAL EM DISPOSITIVOS MÓVEIS
E OUTROS DISPOSITIVOS ELETRÔNICOS
Análise Técnica de Ferramentas, Metodologias e Softwares Forenses
Incluindo análise aprofundada do MOBILedit Forensic (Compelson)
2025
1. Introdução à Forense Digital em Dispositivos Móveis
A forense digital é uma disciplina da ciência forense que se ocupa da identificação, preservação, coleta, análise e apresentação de evidências digitais de maneira legalmente aceitável. Com a proliferação de smartphones, tablets, wearables, veículos conectados e dispositivos IoT, o campo da forense mobile tornou-se um dos pilares mais críticos das investigações criminais modernas.
Segundo dados do setor, mais de 6,8 bilhões de pessoas no mundo possuem um smartphone, e estima-se que cerca de 90% dos crimes investigados hoje apresentam algum componente digital. Mensagens, ligações, localização GPS, histórico de navegação, dados de aplicativos de pagamento, redes sociais e até dados de saúde armazenados em dispositivos vestíveis podem ser decisivos em processos judiciais.
Este artigo apresenta uma visão abrangente das técnicas, metodologias e ferramentas utilizadas na forense digital de dispositivos móveis e eletrônicos em geral, com destaque especial para o MOBILedit Forensic, desenvolvido pela empresa tcheca Compelson, uma das soluções mais reconhecidas no mercado.
2. Fundamentos e Metodologia Forense
2.1 O Ciclo Forense Digital
O processo forense digital segue um ciclo bem definido que garante a integridade e a admissibilidade das evidências em juízo:
Identificação: Reconhecimento dos dispositivos e mídias digitais envolvidos no caso.
Preservação: Isolamento do dispositivo (modo avião, gaiola de Faraday) e criação de imagens forenses para evitar alteração ou destruição de dados.
Coleta: Extração de dados utilizando métodos e ferramentas forenses adequados ao dispositivo e sistema operacional.
Análise: Exame detalhado dos dados extraídos, incluindo dados deletados, fragmentos e metadados.
Documentação: Registro minucioso de todos os procedimentos realizados para garantir a cadeia de custódia.
Apresentação: Elaboração de relatório técnico claro e acessível para uso em procedimentos judiciais.
2.2 Tipos de Extração de Dados
As técnicas de extração de dados em dispositivos móveis são classificadas em cinco níveis, ordenados do menos ao mais invasivo e completo:
3. Dispositivos Alvo na Forense Mobile
3.1 Smartphones e Tablets
Os smartphones são os dispositivos mais comuns em investigações forenses. Armazenam uma quantidade impressionante de evidências potenciais: comunicações (SMS, WhatsApp, Telegram, Signal, e-mails), dados de localização (GPS, Wi-Fi, torres de celular), fotografias e vídeos com metadados EXIF, dados financeiros (apps bancários, PIX, criptomoedas), senhas e credenciais, histórico de navegação e pesquisas.
Os dois principais ecossistemas — Android (Google) e iOS (Apple) — apresentam desafios distintos. O Android, por ser mais aberto, geralmente permite extração mais abrangente, especialmente quando há acesso root. O iOS, por outro lado, possui criptografia robusta e restrições de acesso, tornando o trabalho forense mais complexo, especialmente nas versões mais recentes com chip T2/Secure Enclave.
3.2 Computadores e Notebooks
Embora não sejam dispositivos móveis no sentido estrito, computadores são frequentemente analisados em conjunto com smartphones em investigações mais amplas. Ferramentas forenses como EnCase e FTK (Forensic Toolkit) dominam esse segmento, permitindo análise de discos rígidos, SSDs e backups completos.
3.3 Dispositivos Vestíveis (Wearables)
Smartwatches (Apple Watch, Samsung Galaxy Watch, Garmin) e pulseiras de atividade registram dados biométricos, localização, notificações e até conversas de voz. Esses dados podem corroborar ou contradizer alibi em investigações criminais. A Apple Watch, por exemplo, armazena histórico cardíaco que pode indicar estado emocional no momento de um crime.
3.4 Veículos Conectados (IVI Systems)
Sistemas de infotainment veicular tornaram-se fontes valiosas de evidências. Registros de pareamento Bluetooth, histórico de localização GPS, lista de contatos sincronizados, mensagens de texto e até gravações de câmeras dashcam podem ser extraídos com ferramentas especializadas como o Berla iVe.
3.5 Dispositivos IoT e Smart Home
Câmeras de segurança, assistentes de voz (Amazon Echo, Google Home), termostatos inteligentes e fechaduras digitais podem armazenar logs de atividade, gravações de áudio e vídeo e padrões de comportamento que se tornam evidências relevantes em casos de homicídio, roubo e violência doméstica.
3.6 Drones
Com o crescimento do uso de drones, esses dispositivos passaram a ser alvo de investigações forenses. Registros de voo, coordenadas GPS, metadados de fotos e vídeos e logs do sistema podem ser extraídos para investigar desde entregas ilícitas a prisídios até vigilância não autorizada.
4. Principais Softwares de Forense Digital
4.1 Panorama Geral das Ferramentas
O mercado de ferramentas forenses é dominado por algumas empresas especializadas, cada uma com pontos fortes específicos. A escolha da ferramenta ideal depende do tipo de dispositivo, sistema operacional, nível de criptografia e objetivo da investigação. A seguir, apresentamos as principais soluções disponíveis:
4.2 Cellebrite UFED — O Padrão da Indústria
A Cellebrite, empresa israelense fundada em 1999, é considerada a líder mundial em forense mobile. Sua plataforma UFED (Universal Forensic Extraction Device) é utilizada por mais de 150 países, incluindo agências como o FBI, Interpol e diversas polícias estaduais brasileiras.
O UFED suporta mais de 30.000 perfis de dispositivos e é capaz de realizar extração física em uma ampla gama de aparelhos Android, mesmo sem root, através de exploits próprios. Para iOS, o UFED oferece extração de backup completo e, em versões mais antigas do iOS, extração física completa.
Pontos fortes: Suporte massivo a dispositivos, atualizações frequentes, aceito em tribunais de todo o mundo.
Limitações: Custo elevadíssimo (licenças anuais em dezenas de milhares de dólares), restrições de exportação, dificuldades crescentes com iOS 17+.
Casos notórios: Utilizado no desbloqueio do iPhone do atirador de San Bernardino (2016), no Brasil em diversas operações da Polícia Federal.
4.3 Oxygen Forensic Detective
A Oxygen Forensics é uma empresa americana com raízes russas que desenvolveu uma das suítes forenses mais completas do mercado. O Oxygen Forensic Detective se destaca pela capacidade de extração de dados de aplicações de nuvem, suportando mais de 100 serviços como Google Drive, iCloud, Dropbox, Facebook, Instagram, WhatsApp Business e muitos outros.
Uma característica diferencial da plataforma é a capacidade de extrair dados de múltiplos dispositivos de forma simultânea e cruzar informações entre eles, criando uma linha do tempo unificada de comunicações e localização. O módulo de mapeamento permite visualizar rotas percorridas pelo investigado com base em dados de GPS, Wi-Fi e torres de celular.
Pontos fortes: Extração de nuvem excepcional, análise de redes sociais, linha do tempo integrada.
Limitações: Curva de aprendizado elevada, necessidade de credenciais de acesso para extração de nuvem.
4.4 MSAB XRY
A MSAB (Mobile Security AB), empresa sueca fundada em 1984, oferece o XRY como sua principal solução forense. A plataforma é amplamente utilizada por autoridades policiais e militares em mais de 100 países. O XRY possui versões para extração física, lógica e de arquivo de sistema, todas integradas à plataforma de análise XAMN.
A solução se destaca pela robustez em dispositivos danificados — o XRY possui recursos específicos para extração de aparelhos com telas quebradas, umidade, corrosão ou que foram desligados por senha. Além disso, a integração com o sistema TRACKS permite monitoramento de investigações em larga escala.
4.5 Magnet AXIOM
A Magnet Forensics, empresa canadense, posiciona o AXIOM como uma plataforma de investigação digital unificada. Ao contrário de ferramentas focadas apenas em smartphones, o AXIOM integra análise de computadores, dispositivos móveis e nuvem em uma única interface. O módulo de Inteligência Artificial do AXIOM é capaz de categorizar automaticamente imagens sensíveis (como material de abuso infantil), geolocalizar fotos e identificar padrões de comportamento.
Pontos fortes: Plataforma unificada (PC + mobile + cloud), IA para análise de imagens, excelente suporte a artefatos de aplicativos.
Limitações: Menor capacidade de extração física comparado ao Cellebrite, requer outras ferramentas para aquisição de dados.
4.6 Elcomsoft Premium Forensic Bundle
A Elcomsoft, empresa russa com operações globais, é especialista em recuperação de senhas e acesso a dados criptografados. Seu pacote forense inclui ferramentas específicas para extração de backups do iCloud, acesso a contas Google, descriptografia de backups do WhatsApp e análise de tokens de autenticação.
O Elcomsoft iOS Forensic Toolkit é particularmente notável pela capacidade de realizar extração física em iPhones mais antigos (até iPhone X com iOS 16 em algumas versões) e extrair dados diretamente da memória RAM do dispositivo, incluindo senhas, chaves de criptografia e dados de sessão.
4.7 Paraben E3: DS (Device Seizure)
A Paraben Corporation oferece uma suíte modular que se adapta a diferentes orçamentos e necessidades. O E3 é especialmente popular em investigações corporativas e em países com recursos limitados, pois oferece um modelo de licenciamento mais acessível. Suporta extração de mais de 15.000 modelos de dispositivos e inclui ferramentas específicas para análise de drones e dispositivos IoT.
5. MOBILedit Forensic — Análise Aprofundada
5.1 Histórico e Evolução
O MOBILedit nasceu em 1999 como uma ferramenta de sincronização e gerenciamento de celulares para Windows. Ao longo dos anos 2000, com a explosão dos smartphones, a plataforma foi evoluindo para incorporar capacidades forenses avançadas. Em 2010, foi lançada a versão MOBILedit Forensic, voltada especificamente para investigadores e autoridades policiais.
A plataforma recebeu certificação da NIST (National Institute of Standards and Technology) dos Estados Unidos, o que garantiu sua aceitação em tribunais americanos e internacionais. Ao longo dos anos, a Compelson firmou parcerias com fabricantes de dispositivos e operadoras de telecomunicações, obtendo acesso a protocolos privados que aumentam as capacidades de extração.
5.2 Arquitetura e Módulos
O MOBILedit Forensic Express Pro é composto por vários módulos integrados que cobrem todo o ciclo forense:
Módulo de Aquisição
O módulo de aquisição suporta conexão via USB, Bluetooth, Wi-Fi e, em dispositivos selecionados, comunicação direta via JTAG. Compatível com mais de 6.000 modelos de dispositivos de diferentes fabricantes, incluindo marcas populares no Brasil como Samsung, Motorola, Xiaomi, LG e até aparelhos de funções básicas (feature phones).
Extração Lógica: Acessa dados através das APIs oficiais do sistema operacional (ADB para Android, protocolos Apple para iOS). Recupera dados de aplicativos, contatos, mensagens, registros de chamadas, calendário, etc.
Extração de File System: Utiliza o ADB com permissões root (quando disponível) ou exploits específicos para acessar o sistema de arquivos completo do dispositivo Android. No iOS, aproveita backups iTunes/Finder e, em alguns casos, jailbreaks suportados.
Extração Física: Disponível para dispositivos Android com root e para alguns modelos específicos através de protocolos de baixo nível (EDL - Emergency Download Mode, FastBoot).
Módulo de Análise de Aplicativos
Um dos pontos mais destacados do MOBILedit é sua extenso banco de parsers de aplicativos. A ferramenta analisa dados de mais de 10.000 aplicativos, incluindo:
Mensageiros: WhatsApp, Telegram, Signal, Viber, Line, WeChat, KakaoTalk, Discord, Skype e dezenas de outros.
Redes sociais: Facebook, Instagram, TikTok, Twitter/X, Snapchat, LinkedIn.
E-commerce e finanças: Nubank, PicPay, PayPal, Mercado Pago, aplicativos bancários brasileiros.
Localização: Google Maps, Waze, Uber, 99, histórico de localização nativo do Android e iOS.
Armazenamento em nuvem: Google Drive, iCloud, Dropbox, OneDrive.
Módulo de Recuperação de Dados Deletados
O MOBILedit Forensic implementa algoritmos de recuperação de dados baseados em carving (varredura de setores livres à procura de assinaturas de arquivos), recuperação de registros SQLite deletados (os principais aplicativos de mensagens utilizam SQLite como banco de dados local) e análise de journaling do sistema de arquivos.
Módulo de Relatórios
Após a análise, o MOBILedit gera relatórios forenses detalhados em múltiplos formatos (HTML, PDF, XML, CSV) que incluem hash MD5/SHA256 de cada arquivo extraído, metadados completos, linha do tempo de eventos e mapa de localização. Os relatórios são gerados com cabeçalho personalizado para a agência ou empresa responsável pela investigação.
5.3 Recursos Exclusivos e Diferenciais
Entre os recursos mais notáveis da plataforma estão:
Suporte a Feature Phones: Ao contrário de muitas ferramentas concorrentes que focam apenas em smartphones, o MOBILedit mantém suporte robusto a aparelhos antigos (Nokia, Sony Ericsson, Motorola) utilizados frequentemente por criminosos justamente por serem mais difíceis de rastrear.
Detecção de Malware e Spyware: O módulo de análise de aplicativos identifica softwares de espionagem instalados no dispositivo — stalkerware, keyloggers e aplicativos com permissões suspeitas são flagrados automaticamente.
Análise de Geolocalização Avançada: Integração com mapas para visualização de rotas, locais frequentados e histórico de Wi-Fi. O sistema pode reconstruir deslocamentos mesmo quando o GPS estava desativado, utilizando dados de redes Wi-Fi e torres de celular.
Extração Simultânea de Múltiplos Dispositivos: A versão Enterprise suporta até 10 conexões simultâneas, permitindo processar grandes volumes de dispositivos em operações de grande escala.
Integração com i2 Analyst's Notebook: O MOBILedit exporta dados diretamente para plataformas de análise de inteligência criminal como o i2, permitindo mapear redes de relacionamento e comunicação entre investigados.
5.4 Comparativo: MOBILedit vs. Concorrentes
5.5 Casos de Uso e Aplicações Práticas
O MOBILedit Forensic é amplamente utilizado em diferentes cenários investigativos ao redor do mundo:
Investigações Policiais: Extração de provas em casos de homicídio, tráfico de drogas, extorsão e crimes cibernéticos. No Brasil, a ferramenta é utilizada por delegacias especializadas em crimes eletrônicos (DRCI, GENARC-e) em vários estados.
Investigações Corporativas: Auditoria de dispositivos de funcionários suspeitos de vazamento de informações confidenciais, espionagem industrial ou fraudes internas.
Casos de Violência Doméstica: Extração de histórico de conversas, localização e registros de chamadas para documentar ameaças e agressões.
Recuperação de Dados Pessoais: Embora não seja o uso forense tradicional, o MOBILedit oferece versões comerciais para recuperação de dados de dispositivos pessoais danificados ou resetados acidentalmente.
Inteligência Competitiva / OSINT: Análise de dispositivos apreendidos para mapeamento de redes criminosas, identificação de fornecedores e compradores em casos de narcotráfico.
5.6 Licenciamento e Disponibilidade
A Compelson oferece o MOBILedit Forensic em diferentes tiers de licenciamento:
Express: Versão mais acessível, indicada para pequenas delegacias e investigadores independentes. Suporta extração lógica e de arquivo de sistema com relatórios completos.
Express Pro: Adiciona extração física para dispositivos Android e análise avançada de aplicativos. Versão mais popular no mercado.
Enterprise: Versão completa com suporte a múltiplas conexões simultâneas, integração com plataformas de análise de inteligência e suporte técnico dedicado.
No Brasil, a distribuição é feita por revendedores autorizados e há parceria com empresas de segurança pública estaduais. A licença inclui atualizações por 12 meses e acesso a suporte técnico em inglês, com documentação disponível em português.
6. Desafios e Tendências na Forense Digital Móvel
6.1 Criptografia e Privacidade por Design
O maior desafio contemporâneo da forense mobile é a criptografia onipresente. O iOS, desde a versão 8 (2014), criptografa todos os dados do usuário com uma chave derivada do PIN/senha do dispositivo e do Secure Enclave (chip T2/A). O Android seguiu caminho similar com a adoção do Full Disk Encryption e, mais recentemente, do File-Based Encryption.
Aplicativos de mensagens com criptografia de ponta a ponta (E2EE) como o Signal não armazenam mensagens em servidores e utilizam o protocolo Signal (também adotado pelo WhatsApp) que torna a interceptação das comunicações virtualmente impossível sem acesso físico ao dispositivo desbloqueado.
6.2 Exploits e Vulnerabilidades
Empresas como Cellebrite, NSO Group (Pegasus), Grayshift (GrayKey) e Checkm8 exploram vulnerabilidades de segurança nos sistemas operacionais para contornar as proteções e acessar dados criptografados. Esses exploits têm validade limitada, pois fabricantes como Apple corrigem as vulnerabilidades rapidamente.
O GrayKey, desenvolvido pela Grayshift, é um dispositivo físico conectado ao iPhone que utiliza um exploit no bootrom para contornar o Secure Enclave e realizar ataques de força bruta ao PIN/senha do dispositivo. Funciona em iPhones até o iPhone X, mas tem eficácia limitada em modelos mais recentes.
6.3 Nuvem como Fonte Primária de Evidências
Com a migração crescente de dados para a nuvem (iCloud, Google One, Samsung Cloud), a extração direta do dispositivo físico pode ser complementada — ou substituída — pela obtenção de dados via mandado judicial direcionado ao provedor de nuvem. No Brasil, a Lei 12.965/2014 (Marco Civil da Internet) e o Decreto 8.771/2016 estabelecem as condições para requisição de dados de provedores nacionais.
6.4 Inteligência Artificial na Análise Forense
O volume de dados extraídos em investigações modernas tornou inviável a análise manual. Ferramentas de IA são cada vez mais integradas às plataformas forenses para categorização automática de imagens (detecção de CSAM), reconhecimento de faces, análise de sentimento em conversas, detecção de código malicioso e identificação de padrões de comportamento criminoso.
6.5 Privacidade e Questões Éticas
A forense digital levanta questões éticas profundas sobre o equilíbrio entre segurança pública e privacidade individual. No Brasil, o STF tem produzido jurisprudência importante sobre o tema, exigindo autorização judicial para acesso a dados de dispositivos apreendidos. A ADI 5508 e o RE 1.055.941 estabeleceram marcos importantes para o uso de dados digitais como prova em processos penais.
7. Boas Práticas e Cadeia de Custódia
Para que as evidências digitais sejam admitidas em juízo, é fundamental seguir procedimentos rigorosos de coleta e documentação:
Isolamento do dispositivo: Imediatamente ao apreender o dispositivo, colocá-lo em modo avião ou em uma gaiola de Faraday para evitar comunicação remota, wipe remoto (via Find My iPhone ou Find My Device) ou alteração de dados.
Fotografar antes de qualquer intervenção: Registrar o estado do dispositivo (ligado/desligado, percentual de bateria, data e hora exibida, mensagens visíveis) com câmera forense ou câmera comum com hash de imagem.
Preservar a carga da bateria: Conectar o dispositivo a uma fonte de energia, se necessário utilizando um bloqueador de dados USB (data blocker) que permite carga sem transferência de dados.
Criar imagem forense antes da análise: Nunca analisar o dispositivo original diretamente. Criar uma imagem bit-a-bit e verificar sua integridade com hash MD5 e SHA256.
Documentar cada etapa: Registrar data, hora, responsável e procedimento realizado em cada etapa. Utilizar formulário de cadeia de custódia padronizado.
Armazenamento adequado: Dispositivos e mídias forenses devem ser armazenados em sacos antiestáticos, em temperatura controlada e com controle de acesso físico.
8. Forense Digital no Brasil
8.1 Marco Legal e Regulatório
O Brasil possui um conjunto de normas que regulamentam a prova digital e os procedimentos forenses. A Lei 12.965/2014 (Marco Civil da Internet), o Decreto 8.771/2016, a Lei 13.709/2018 (LGPD), o Código de Processo Penal (CPP) e a Lei 9.296/1996 (interceptação telefônica) formam a base legal para a obtenção e utilização de evidências digitais.
O Conselho Nacional de Justiça (CNJ) publicou em 2022 a Resolução CNJ 396, que estabelece diretrizes para a produção probatória digital no processo judicial eletrônico, incluindo requisitos de autenticidade, integridade e rastreabilidade das evidências.
8.2 Estrutura de Perícia Forense Digital
No âmbito federal, a Polícia Federal possui o SETEC (Serviço Técnico-Científico) com laboratórios de forense digital altamente equipados. Nos estados, as Polícias Civis possuem Institutos de Criminalística (IC) e Delegacias de Crimes Cibernéticos (DRCI) com capacidade forense variável entre os estados.
O Ministério Público Federal e os MPs estaduais também possuem estruturas de apoio à análise de provas digitais, especialmente nas promotorias especializadas em crimes contra a ordem tributária, corrupção e crime organizado.
9. Conclusão
A forense digital em dispositivos móveis é uma área em constante evolução, impulsionada pela rapidez com que a tecnologia avança e pela crescente sofisticação dos criminosos no uso de recursos digitais. As ferramentas analisadas neste artigo representam o estado da arte em extração e análise de evidências digitais, cada uma com seus pontos fortes e limitações.
O MOBILedit Forensic da Compelson se destaca como uma solução versátil e completa, com custo-benefício superior para organizações de menor porte ou países em desenvolvimento, mantendo alto padrão técnico e aceitação judicial. Sua capacidade de suporte a uma ampla gama de dispositivos — incluindo feature phones antigas — e a robustez do módulo de análise de aplicativos o tornam uma escolha competitiva no cenário global.
O futuro da forense digital será moldado pela batalha constante entre criptografia e exploits, pelo crescimento exponencial dos dados na nuvem, pelo uso da inteligência artificial para análise de grandes volumes de evidências e pelo desenvolvimento de frameworks legais que equilibrem a necessidade de investigação criminal com o direito fundamental à privacidade.
Para profissionais da área, a formação contínua e o acompanhamento das certificações internacionais — como CCE (Certified Computer Examiner), GCFE (GIAC Certified Forensic Examiner) e ENCE (EnCase Certified Examiner) — são essenciais para manter a competência técnica e a credibilidade das evidências produzidas.
Referências e Recursos
NIST National Software Reference Library (NSRL) — https://www.nist.gov/nsrl
Compelson MOBILedit Forensic — https://www.mobiledit.com/forensic
Cellebrite UFED Documentation — https://cellebrite.com/en/ufed/
SWGDE (Scientific Working Group for Digital Evidence) — https://www.swgde.org
ACPO Good Practice Guide for Digital Evidence (UK)
ISO/IEC 27037:2012 — Guidelines for identification, collection, acquisition and preservation of digital evidence
Lei 12.965/2014 — Marco Civil da Internet (Brasil)
Resolução CNJ 396/2022 — Diretrizes para Produção Probatória Digital
Oxygen Forensics Documentation — https://www.oxygen-forensic.com
MSAB XRY Technical Documentation — https://www.msab.com/xry/
— Evento sobre o tema em 2019 https://www.facebook.com/share/v/18LSMvZVAf
Comentários
Postar um comentário