Autoridades russas usaram as ferramentas forenses UFED, da Cellebrite, para acessar o iPhone do ativista da oposição detido Andrey Pivovarov em junho de 2021, três meses depois de a empresa afirmar que deixaria de vender seus produtos e serviços para a Rússia e Belarus.
A conclusão, publicada em 25 de junho pelo Citizen Lab, se apoia em dois elementos raramente coincidentes: vestígios encontrados no próprio aparelho e um relatório oficial do governo russo que cita a ferramenta.
Os investigadores buscaram, nos dados extraídos, contatos políticos, figuras da oposição e nomes de organizações de ativistas.
Não se tratou de spyware remoto.
Era uma ferramenta forense executada em um dispositivo apreendido e sob custódia, usada para construir um caso em uma perseguição política.
Pivovarov comandava a Open Russia, grupo de oposição que o Kremlin havia classificado como “indesejável”, um rótulo que transformava a continuidade do vínculo em crime.
Ele foi retirado de um voo no aeroporto de São Petersburgo em 31 de maio de 2021, e seu iPhone 12 e MacBook foram confiscados.
Ele nunca autorizou a busca nem entregou suas senhas.
Os aparelhos permaneceram sob custódia até 2023.
Em julho de 2022, foi condenado a quatro anos de prisão.
Ele foi libertado em agosto de 2024 em uma troca de prisioneiros.
Pivovarov entregou o telefone aos pesquisadores do Citizen Lab no outono de 2025.
Os vestígios encontrados no aparelho datavam de 2021, quando o dispositivo estava em posse das autoridades russas.
Registros do MobileLockdown, que rastreiam pareamentos USB confiáveis de um iPhone, mostraram uma conexão em 17 de junho de 2021 com um ID de host compatível com uma impressão digital da Cellebrite que os pesquisadores haviam identificado em um caso anterior na Jordânia.
Para eles, isso constitui uma evidência de alta confiança de que a UFED foi usada.
A própria documentação russa reforça essa interpretação forense.
Pivovarov recebeu, no curso de sua acusação, um relatório intitulado “Relatório de Exame Pericial nº 1269-17”, preparado para o Comitê Investigativo da Rússia pelo centro forense do Ministério do Interior, e entregou uma cópia ao Citizen Lab.
O documento cita nominalmente o UFED Physical Analyzer e o UFED 4PC, da Cellebrite.
Ele registra a extração de dados do WhatsApp, Telegram e Viber, além de mostrar buscas por “Open Russia Civic Movement” e por nomes de figuras da oposição, incluindo Mikhail Khodorkovsky, a advogada Anastasiya Burakova e a companheira de Pivovarov, Tatiana Usmanova.
Já o MacBook resistiu.
O relatório do MVD descreve uma extração malsucedida, bloqueada pela criptografia, e o Citizen Lab encontrou tentativas de login frustradas na mesma data, indicando que as autoridades nunca tiveram a senha de Pivovarov.
O ponto central está no timing.
A Cellebrite anunciou em março de 2021 que deixaria de vender para a Rússia e Belarus, medida que interrompeu atualizações, mas manteve os equipamentos já existentes em operação.
Segundo o Citizen Lab, boa parte da UFED continua funcionando offline muito tempo depois do fim do suporte.
A brecha está justamente aí: o risco nunca foi apenas a venda futura, mas a base instalada já presente em delegacias e órgãos de inteligência.
Isso coincide com reportagens anteriores de que a Rússia continuou usando a Cellebrite em telefones de detidos depois do anúncio.
Questionada em 22 de junho, a Cellebrite disse ao Citizen Lab e à Access Now que qualquer uso de seu hardware legado na Rússia após março de 2021 é “totalmente não autorizado”.
A empresa afirmou que esse hardware opera sem seu suporte ou consentimento e que, hoje, seria incompatível com dispositivos modernos.
A Rússia segue permanentemente na lista de clientes restritos da companhia, que disse estar migrando para licenças por assinatura, que deixam de funcionar quando expiram.
A distinção pesa mais no campo jurídico do que no operacional: a ferramenta continuava funcionando quando os investigadores russos tinham o telefone em mãos, em 2021.
Há outro ponto que merece atenção.
As pessoas cujos nomes foram pesquisados no telefone de Pivovarov mais tarde surgiram como alvos da COLDRIVER, uma operação de phishing ligada ao FSB, e Burakova foi alvo, embora não tenha caído no golpe.
O Citizen Lab não afirma uma ligação direta, mas o mecanismo é evidente: ao extrair a rede de contatos de um ativista, obtém-se a lista de alvos para a campanha seguinte.
A orientação do Citizen Lab para quem corre risco de apreensão é direta, embora nada disso seja infalível contra uma ferramenta forense.
Use uma senha alfanumérica forte.
Mantenha o sistema operacional atualizado.
Ative o Modo de Proteção no iPhone ou a Proteção Avançada no Android 16 ou superior.
Criptografe o disco em computadores.
Desligue completamente o aparelho antes de entrar em uma situação de alto risco.
Se um dispositivo apreendido for devolvido, troque todas as senhas de contas e faça uma análise antes de apagá-lo.
A Rússia se junta a Sérvia, Quênia e Jordânia em uma lista crescente de casos de abuso da Cellebrite comprovados por análises forenses.
A lição mais dura é mais estreita: cortar vendas e manter ferramentas antigas, capazes de operar offline, em funcionamento não equivale a um bloqueio real quando o telefone já está dentro de uma sala de custódia.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...