top of page

Rússia usou ferramenta da Cellebrite para acessar iPhone de ativista preso


Autoridades russas usaram ferramentas forenses da Cellebrite para invadir o iPhone do ativista de oposição Andrey Pivovarov em junho de 2021, três meses depois de a empresa afirmar que deixaria de vender seus produtos e serviços para Rússia e Belarus.


A descoberta foi publicada em 25 de junho pelo Citizen Lab e se apoia em dois elementos raramente disponíveis em conjunto: vestígios técnicos encontrados no próprio telefone e um relatório oficial do governo russo que cita nominalmente a ferramenta utilizada.


Segundo a investigação, os dados extraídos do aparelho foram usados para procurar contatos políticos, figuras da oposição e nomes de organizações ativistas. O caso não envolve spyware remoto, mas sim o uso de uma ferramenta forense em um dispositivo apreendido sob custódia, dentro de um processo de persecução política.


Pivovarov comandava a Open Russia, grupo de oposição que havia sido classificado pelo Kremlin como “indesejável”. Na prática, essa designação tornou a continuidade de envolvimento com a organização uma infração criminal.


O ativista foi retirado de um voo no aeroporto de São Petersburgo em 31 de maio de 2021. Na ocasião, seu iPhone 12 e seu MacBook foram confiscados. Ele não consentiu com a busca nos dispositivos e não entregou suas senhas. Os equipamentos permaneceram sob custódia até 2023. Em julho de 2022, Pivovarov foi condenado a quatro anos de prisão e acabou libertado em agosto de 2024, em uma troca de prisioneiros.


No segundo semestre de 2025, Pivovarov entregou o iPhone a pesquisadores do Citizen Lab. Os vestígios encontrados no aparelho remontavam a 2021, período em que o dispositivo estava sob controle das autoridades russas.




Registros do MobileLockdown, que rastreiam os pareamentos USB confiáveis de um iPhone, indicaram uma conexão em 17 de junho de 2021 com um host ID compatível com uma impressão digital da Cellebrite já identificada pelos pesquisadores em um caso anterior na Jordânia. O Citizen Lab classificou o achado como evidência de alta confiança de que o UFED da Cellebrite foi utilizado.


A própria documentação russa reforça a leitura forense. Durante o processo, Pivovarov recebeu um documento chamado “Forensic Expert Report No. 1269-17”, preparado para o Comitê Investigativo da Rússia pelo centro forense do Ministério do Interior. Ele entregou uma cópia desse relatório ao Citizen Lab.


O documento cita explicitamente os produtos UFED Physical Analyzer e UFED 4PC, ambos da Cellebrite. Também registra a extração de dados de aplicativos como WhatsApp, Telegram e Viber, além de mostrar que os investigadores realizaram buscas por “Open Russia Civic Movement” e por nomes de figuras da oposição, incluindo Mikhail Khodorkovsky, a advogada Anastasiya Burakova e Tatiana Usmanova, parceira de Pivovarov.


O MacBook, por outro lado, não foi acessado com sucesso. O relatório do Ministério do Interior russo descreve uma tentativa fracassada de extração, bloqueada por criptografia. O Citizen Lab também encontrou tentativas de login malsucedidas na mesma data, indicando que as autoridades não tinham a senha de Pivovarov.


O ponto central do caso está no momento em que a extração ocorreu. A Cellebrite anunciou em março de 2021 que deixaria de vender para Rússia e Belarus, decisão que interrompeu atualizações e suporte, mas não necessariamente impediu o uso de equipamentos já instalados. Segundo o Citizen Lab, boa parte das ferramentas UFED continua funcionando offline por muito tempo depois do fim do suporte.


Esse é o vazio operacional do corte comercial: o risco não estava apenas em vendas futuras, mas também na base instalada já presente em departamentos policiais e órgãos de inteligência. O caso se alinha a reportagens anteriores que indicavam a continuidade do uso de ferramentas da Cellebrite pela Rússia em celulares de pessoas detidas após o anúncio da empresa.


Questionada em 22 de junho pelo Citizen Lab e pela Access Now, a Cellebrite afirmou que qualquer uso de hardware legado na Rússia depois de março de 2021 é “inteiramente não autorizado”. A empresa disse que esse hardware opera sem seu suporte ou consentimento e que, atualmente, seria incompatível com dispositivos modernos.


A Cellebrite também afirmou que a Rússia permanece de forma permanente em sua lista de clientes restritos e que está migrando para licenças por assinatura, que deixam de funcionar quando expiram. A distinção, porém, é mais relevante do ponto de vista jurídico do que operacional: em 2021, quando investigadores russos tinham o telefone em mãos, a ferramenta ainda funcionava.


Outro ponto de atenção é a sobreposição entre os nomes pesquisados no telefone de Pivovarov e alvos posteriores da COLDRIVER, operação de phishing associada ao FSB, o serviço de segurança russo. Pessoas cujos nomes apareceram nas buscas do aparelho depois surgiram como alvos da campanha. Burakova, por exemplo, foi alvo, mas não caiu no ataque.


O Citizen Lab não afirma haver uma ligação direta entre a extração feita no iPhone e as campanhas posteriores de phishing. Ainda assim, o mecanismo é evidente: ao extrair a rede de contatos de um ativista, investigadores ou operadores maliciosos podem construir uma lista de alvos para ações futuras.


A recomendação do Citizen Lab para pessoas sob risco de apreensão de dispositivos é direta, embora nenhuma medida seja totalmente infalível contra ferramentas forenses. Entre as práticas sugeridas estão o uso de senha alfanumérica forte, atualização constante do sistema operacional, ativação do Lockdown Mode em iPhones ou do Advanced Protection em dispositivos Android 16 ou superior, criptografia de disco em computadores e desligamento completo do aparelho antes de entrar em situações de alto risco.


Caso um dispositivo apreendido seja devolvido, a orientação é trocar todas as senhas de contas associadas e submetê-lo a uma análise técnica antes de apagá-lo ou reutilizá-lo normalmente. A preocupação é que o acesso físico ao aparelho, combinado com ferramentas forenses, pode expor dados sensíveis, redes de relacionamento e informações usadas em investigações ou campanhas futuras.


Com esse caso, a Rússia se junta a Sérvia, Quênia e Jordânia em uma lista crescente de episódios de abuso de ferramentas da Cellebrite sustentados por evidências forenses. A conclusão mais relevante é específica: um corte de vendas que permite que ferramentas antigas e capazes de operar offline continuem funcionando tem efeito limitado quando o dispositivo já está em uma sala de custódia.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

(11) 93937-9007

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page