À medida que os dispositivos móveis se tornaram onipresentes, também aumentou a necessidade de os advogados coletarem informações deles para uso em litígios. Devido aos desafios únicos de coleta de dados apresentados por esses dispositivos, a “perícia forense em dispositivos móveis” se tornou um campo específico, com muitos profissionais forenses desenvolvendo especialização nessa área.

Dispositivos móveis 101: segurança e armazenamento

Como os dispositivos móveis são justamente isso — móveis — e podem ser caros e muito procurados, eles são suscetíveis a perda ou roubo, o que aumenta as preocupações com a segurança. Com essa preocupação crescente, surge uma necessidade maior de segurança e, consequentemente, uma coleta de dados mais difícil.

À medida que o volume de dados aumenta, também aumenta a dificuldade de armazenar uma quantidade tão grande de dados em um dispositivo pequeno e portátil. Isso levou ao desenvolvimento de dispositivos móveis com estratégias de armazenamento exponencialmente maiores. Essa é uma das razões pelas quais agora é comum armazenar dados na nuvem e acessá-los apenas quando necessário a partir de um dispositivo móvel. A nuvem representa uma capacidade de armazenamento quase ilimitada e é menos suscetível à perda de dados, portanto, não precisamos armazenar tudo em nosso dispositivo móvel; precisamos apenas do dispositivo móvel para exibir essas informações quando quisermos vê-las.

Isso tornou muito difícil para os advogados entenderem onde os dados importantes estão e saberem como coletá-los da maneira mais oportuna e econômica.

Por esse motivo, os advogados devem entender que nem tudo o que você vê em um dispositivo móvel está realmente armazenado nele. Mesmo para dados que residem em um dispositivo móvel, pode ser mais eficiente coletá-los de uma fonte na nuvem do que do dispositivo. Por fim, alguns aplicativos são “orientados para a segurança em primeiro lugar”, portanto, as opções para coletar esses dados são limitadas quando comparadas a aplicativos semelhantes. A coleta desses aplicativos é mais difícil, demorada e cara do que um advogado poderia inicialmente esperar.

As seções a seguir descrevem estratégias comuns para coletar dados de diferentes tipos de aplicativos.

Aplicativos que armazenam seus dados no dispositivo móvel — principalmente

Para iPhones, a maneira mais direta de obter os dados que existem no próprio dispositivo é por meio de uma ferramenta que coleta e processa um backup do iPhone. À primeira vista, esse processo parece fácil, mas, na prática, apresenta vários obstáculos.

Primeiro, os dados precisam existir no iPhone, mas nem sempre é esse o caso. Por exemplo, as iMessages ficam no iPhone quando o responsável não sincroniza suas mensagens com o iCloud. Algumas pessoas sincronizam suas mensagens com o iCloud para poder ver essas mensagens em todos os dispositivos que usam e responder às mensagens em qualquer um dos seus dispositivos. As mensagens permanecem sincronizadas, o que significa que, se uma mensagem for criada ou respondida em um dispositivo, ela será exibida como criada ou respondida em todos os dispositivos. No entanto, quando um responsável configura os dispositivos dessa forma, suas mensagens e anexos ficam no iCloud, e não no iPhone, iPad ou Mac que está usando. Portanto, se tentarmos coletar mensagens de um dispositivo, alguns dados podem estar faltando.

Para coletar essas mensagens de um único dispositivo, precisamos forçar todas as mensagens para esse dispositivo e, em seguida, baixá-las. No entanto, em algumas circunstâncias, a Apple pode reter alguns anexos no iCloud e não baixá-los. Nesses casos, a coleta capturaria a mensagem, mas o anexo poderia estar “ausente” porque não estava no telefone ou no backup. Outra “armadilha” para os advogados é que, se um custodiante tiver muitas mensagens, pode levar muito tempo para baixar as mensagens do iCloud para o iPhone para coleta. Portanto, se não esperarmos tempo suficiente para que o download ocorra, podemos obter apenas uma coleta parcial. Em resumo, ao lidar com a sincronização de mensagens da Apple, podem ser necessárias várias coletas dos dados de mensagens do iCloud, bem como do telefone local e do backup do iCloud.

Aplicativos que armazenam seus dados na nuvem

Alguns aplicativos existem em um dispositivo e se parecem com qualquer outro aplicativo, mas sempre armazenam seus dados na nuvem. Na verdade, o aplicativo é essencialmente um navegador da web sofisticado que exibe dados baseados na nuvem no aplicativo no dispositivo, mas não os armazena localmente, ou pode armazenar apenas algum conteúdo em cache temporariamente. Bons exemplos disso incluem aplicativos bancários, aplicativos de webmail (por exemplo, Gmail) e aplicativos empresariais como Teams e Slack. Para aplicativos como esses, a melhor coleção é da fonte na nuvem (por exemplo, Microsoft 365, Gmail, etc.) e não do dispositivo móvel.

Aplicativos que armazenam seus dados criptografados no dispositivo e não permitem que sejam copiados

Embora muitos aplicativos armazenem seus dados no iPhone, alguns não permitem que seus dados sejam copiados pelo iTunes ou para o iCloud. Além disso, os dados do aplicativo são normalmente criptografados, e as chaves necessárias para descriptografá-los são armazenadas no keychain do usuário em um dispositivo Apple ou no keystore para um dispositivo Android. Aplicativos de mensagens efêmeras, como Signal e Telegram, são exemplos disso. Para esses aplicativos, um examinador forense deve usar ferramentas especiais para coletar todo o sistema de arquivos (incluindo o keychain ou keystore), em vez de confiar na análise de dados de um backup. Isso pode obter comunicações de aplicativos como o Signal. A Cellebrite e a Magnet Forensics têm ferramentas que coletam todo o sistema de arquivos e o keychain ou keystore do Signal. Os dados do Telegram, no entanto, podem ser parcialmente armazenados em cache em um contêiner criptografado, enquanto seu conjunto de dados completo estaria na nuvem. Para o Telegram, assim como para outros aplicativos que armazenam os dados na nuvem, a melhor coleta é diretamente de sua conta online, em vez do dispositivo móvel.

Aplicativos que não fazem backup localmente

As ferramentas forenses padrão geralmente dependem da interface de programação de aplicativos de backup do fabricante. No caso do Android Backup, os desenvolvedores de aplicativos de terceiros podem escrever seu código para não incluir os dados do aplicativo. Muitos desenvolvedores de aplicativos Android excluem seus dados dos backups, e é por isso que a maioria das ferramentas forenses padrão não consegue coletar e analisar dados de aplicativos de terceiros. Até mesmo o Google exclui a maioria de seus aplicativos padrão, como Drive e Mensagens, dos backups do Android. Nesses casos do Android, o examinador forense deve recorrer a outros métodos validados, como a coleta completa do sistema de arquivos, para coletar dados de aplicativos de terceiros.

Aplicativos que sincronizam dados com computadores

Alguns aplicativos de mensagens permitem que o usuário registre um aplicativo de computador ou navegador da web para “sincronizar” seus dados, permitindo o uso do aplicativo de mensagens em seu computador ou navegador. Embora o usuário possa acessar seus dados em um computador e em seu dispositivo móvel, não há um “servidor central” hospedando esses dados. Seu dispositivo móvel é a fonte principal dos dados do aplicativo, com os computadores autorizados desempenhando um papel secundário e recebendo apenas o que o dispositivo móvel encaminha para eles. No caso do WhatsApp, um usuário pode registrar seu computador usando um código QR, o que lhe permitirá ver seu histórico de mensagens recentes no computador registrado e enviar ou receber mensagens. As mensagens e conversas existentes antes do registro do computador não serão sincronizadas, portanto, se estivermos procurando mensagens mais antigas, precisamos ter isso em mente. Algumas ferramentas forenses usam esse recurso com o WhatsApp para coletar dados remotamente, o que armazenará os dados das mensagens recentes. No entanto, isso provavelmente não incluirá todo o histórico de mensagens do WhatsApp. Apenas o telefone teria o conjunto completo de dados de mensagens, tornando-o a melhor fonte para os dados do WhatsApp.

Conclusão

Esses são apenas alguns exemplos de problemas de coleta de dados que surgem com alguns dos aplicativos mais comuns em uso atualmente. Assim como tudo na corrida das tecnologias emergentes para aumentar a usabilidade e a segurança, o que é verdade hoje pode não ser verdade amanhã, pois cada avanço na tecnologia busca melhorar um ou outro aspecto.
Advogados que perdem dados importantes podem enfrentar consequências posteriores em suas investigações e litígios. Erros podem levar a resultados negativos, como a necessidade de recolher novamente os dados (às vezes em um país estrangeiro), perda de tempo e dinheiro, não conformidade com estipulações e ordens de descoberta e impactos negativos no caso, como indeferimentos, julgamentos sumários, instruções adversas do júri e, é claro, insatisfação geral do cliente.

Quando você precisar de dados importantes para sua investigação ou litígio e não tiver certeza de onde eles estão ou qual a melhor forma de coletá-los, consulte e elabore uma estratégia com seu especialista em coleta de dados forenses.


Jason Paroff, Diretor Sênior, Líder da Prática Forense, Epiq
Jason Paroff é diretor sênior e líder da prática forense da Epiq. Nessa função, o Sr. Paroff lidera a prática forense e de coleta de dados nos Estados Unidos e coordena recursos e serviços globalmente. Além de sua função administrativa, o Sr. Paroff examinou inúmeros computadores e sistemas de computador em busca de evidências de fraude, roubo de segredos comerciais, assédio e outras condutas civis e criminais impróprias. Ele é membro da Academia Americana de Ciências Forenses e atualmente atua no Conselho de Administração da Academia (mandato de três anos — 2025-2028) e é ex-presidente da Seção de Ciências Digitais e Multimídia (2020-2022). O Sr. Paroff já testemunhou em tribunais federais distritais como perito e foi palestrante em conferências e professor convidado na Escola de Negócios da Universidade de Columbia. O Sr. Paroff também lecionou perícia digital para empresas da Fortune 500, advogados e membros de agências policiais e de inteligência estrangeiras.

O Sr. Paroff é advogado licenciado e está habilitado a exercer a advocacia em Nova York, Connecticut e nos tribunais distritais federais dos distritos sul e leste de Nova York.


Andrew Crouse, Diretor, Forense, Soluções de eDiscovery, Epiq
Andrew Crouse é Diretor de Perícia Digital da Epiq, onde lidera exames forenses digitais, consultorias, prestação de serviços e requisitos de práticas forenses. Crouse gerencia uma equipe de consultores, analistas e pessoal de operações de laboratório para as operações da Epiq nos Estados Unidos. Ele tem ampla experiência na liderança de projetos complexos de perícia digital e eDiscovery para empresas da Fortune 500 em todo o mundo, bem como no desenvolvimento, implementação e auditoria de procedimentos de controle de qualidade em laboratórios de perícia digital. Ele é um especialista reconhecido em DOMEX, perícia computacional, perícia móvel e gerenciamento de risco de dados eDiscovery, e possui uma autorização de segurança de nível ultrassecreto do Departamento de Segurança Interna dos Estados Unidos (DHS). Crouse já atuou como testemunha especialista em tribunais federais e estaduais.