Rússia usou o UFED da Cellebrite para aceder ao iPhone de ativista detido, três meses após o “corte” de contratos

As autoridades russas utilizaram as ferramentas forenses da Cellebrite para aceder ao iPhone do ativista de oposição Andrey Pivovarov em junho de 2021, três meses depois de a empresa israelita ter anunciado o cancelamento de todos os contratos com clientes na Rússia e na Bielorrússia. A conclusão é do Citizen Lab, o laboratório de investigação da Universidade de Toronto, que publicou o relatório a 25 de junho, e assenta numa combinação rara de provas: vestígios forenses encontrados no próprio telemóvel e um documento oficial do governo russo que identifica, pelo nome, a ferramenta utilizada.

Quem é Andrey Pivovarov e como foi detido

Pivovarov dirigia a Open Russia, organização de oposição fundada por Mikhail Khodorkovsky que o Kremlin classificou como “indesejável”, uma designação que, na prática, transformava qualquer envolvimento continuado num crime. O Tribunal Europeu dos Direitos Humanos viria a considerar essa lei incompatível com a Convenção Europeia dos Direitos Humanos.

A 31 de maio de 2021, Pivovarov foi retirado de um voo no aeroporto de São Petersburgo pelos serviços de segurança russos. O seu iPhone 12 e o seu MacBook foram confiscados. O ativista nunca consentiu na pesquisa dos dispositivos nem entregou as suas palavras-passe. Os equipamentos permaneceram sob custódia oficial até 2023. Em julho de 2022, Pivovarov foi condenado a quatro anos de prisão por dirigir uma organização “indesejável”, numa condenação amplamente considerada como politicamente motivada, e acabou libertado em agosto de 2024, numa troca de prisioneiros negociada pelos Estados Unidos.

No outono de 2025, já em liberdade, Pivovarov entregou o iPhone a investigadores do Citizen Lab durante o World Liberty Congress, em Berlim. A análise forense detalhada que se seguiu encontrou, com elevada confiança, vestígios do uso das ferramentas da Cellebrite datados de cerca de 17 de junho de 2021, período em que o dispositivo estava nas mãos das autoridades russas.

As provas: registos do iPhone e um documento oficial russo

A análise do Citizen Lab centrou-se nos registos MobileLockdown do iPhone, que documentam os emparelhamentos USB de confiança do dispositivo. Esses registos revelaram uma ligação, a 17 de junho de 2021, a um equipamento com um Host ID que os investigadores já tinham atribuído à Cellebrite num caso anterior, na Jordânia.

O que torna este caso invulgar é a corroboração vinda de uma fonte inesperada: as próprias autoridades russas. Durante o processo criminal, Pivovarov recebeu um documento intitulado “Relatório Pericial Forense N.º 1269-17”, elaborado pelo Centro de Perícia Forense do Ministério do Interior russo (MVD) a pedido do Comité de Investigação. O relatório, que o ativista partilhou com o Citizen Lab, confirma explicitamente a utilização do UFED Physical Analyzer e do kit UFED 4PC da Cellebrite, e documenta a extração de dados de aplicações como o WhatsApp, o Telegram e o Viber.

Excerto do relatório pericial do Ministério do Interior russo que documenta a extração forense com o UFED da Cellebrite
Excerto do relatório pericial do Ministério do Interior russo (MVD) que documenta a extração de dados dos dispositivos de Pivovarov com o UFED da Cellebrite. Fonte: Citizen Lab.

O documento mostra ainda que os investigadores não se limitaram a extrair os dados: pesquisaram-nos por termos políticos como “Open Russia Civic Movement” e por nomes de figuras da oposição, incluindo Mikhail Khodorkovsky, a advogada de direitos humanos Anastasiya Burakova e a companheira de Pivovarov, Tatiana Usmanova.

Imagem do relatório forense russo mostrando pesquisas por termos políticos nos dados extraídos com o UFED da Cellebrite
Imagem do relatório forense que mostra o uso do UFED da Cellebrite para pesquisar os dados extraídos por termos políticos específicos. Fonte: Citizen Lab.

O MacBook resistiu graças à encriptação

Nem tudo correu de feição às autoridades russas. O mesmo relatório do MVD descreve uma tentativa falhada de extração de dados do MacBook de Pivovarov, bloqueada pela encriptação do disco. A análise do Citizen Lab encontrou tentativas de login falhadas na mesma data, confirmando que os investigadores não dispunham da palavra-passe do ativista. É um contraste eloquente: o mesmo Estado que conseguiu abrir um iPhone com ferramentas forenses especializadas ficou barrado por encriptação de disco bem configurada num computador.

Imagem do relatório forense russo indicando a falha no acesso ao MacBook de Pivovarov devido à encriptação
Imagem do relatório forense que indica a tentativa falhada de acesso ao MacBook de Pivovarov, bloqueada pela encriptação. Fonte: Citizen Lab.

O problema do “corte” que não corta

O aspeto mais relevante do caso está no calendário. A Cellebrite anunciou em março de 2021 que deixaria de vender à Rússia e à Bielorrússia, na sequência de uma petição judicial em Israel que alegava que a sua tecnologia estava a ser usada pelo Comité de Investigação russo para repressão política. O cancelamento dos contratos interrompeu as atualizações e o suporte, mas não desativou o hardware já entregue: grande parte das ferramentas UFED continua a funcionar em modo offline muito depois de o suporte terminar.

A extração ao iPhone de Pivovarov aconteceu três meses depois desse anúncio. E não foi caso único: a imprensa independente russa reportou que, já depois da invasão em larga escala da Ucrânia em 2022, o FSB usou ferramentas da Cellebrite contra o ativista anti-guerra Dmitry Ivanov. Confrontada pelo Citizen Lab e pela Access Now, a Cellebrite respondeu que qualquer uso do seu hardware legado na Rússia após março de 2021 é “totalmente não autorizado” e que a Rússia permanece na sua lista de clientes restritos. A resposta é juridicamente exata, mas operacionalmente irrelevante: a ferramenta funcionou, o telemóvel foi aberto e os dados alimentaram uma acusação política.

Do telemóvel de um ativista à lista de alvos seguinte

O Citizen Lab assinala ainda uma correlação preocupante. Vários dos nomes pesquisados no iPhone de Pivovarov surgiram, anos mais tarde, como alvos da COLDRIVER, uma operação de phishing atribuída ao FSB que visou opositores russos no estrangeiro. Anastasiya Burakova foi um desses alvos, em 2024, embora sem sucesso. Os investigadores não afirmam uma ligação causal direta, mas o mecanismo é simples de descrever: extrair a rede de contactos de um ativista produz, na prática, uma lista pré-qualificada de alvos para a campanha seguinte.

Com este caso, a Rússia junta-se à Sérvia, ao Quénia e à Jordânia na lista crescente de abusos de ferramentas da Cellebrite confirmados por evidência forense, e o Citizen Lab recomenda à empresa que adote identificadores únicos por cliente nos dispositivos analisados e mecanismos eficazes de desativação remota.

Porque é que isto importa

Este caso é um lembrete de que a segurança de um dispositivo não termina no software: o acesso físico prolongado, combinado com ferramentas forenses comerciais, é uma das ameaças mais difíceis de mitigar. Para jornalistas, ativistas, advogados e outros perfis de risco, incluindo em Portugal, onde as ferramentas da Cellebrite também são utilizadas por forças de segurança, as recomendações do Citizen Lab são concretas: usar uma palavra-passe alfanumérica forte, manter o sistema operativo atualizado, ativar o Lockdown Mode no iPhone ou a Advanced Protection no Android 16 ou superior, encriptar o disco dos computadores e desligar completamente os dispositivos antes de situações de risco elevado, como passagens de fronteira. Se um dispositivo apreendido for devolvido, todas as palavras-passe associadas devem ser trocadas e o equipamento deve ser analisado por um perito antes de ser apagado ou reutilizado.

O caso do MacBook de Pivovarov demonstra, aliás, que estas medidas funcionam: a encriptação de disco bem aplicada travou um Estado com acesso físico ao equipamento durante dois anos.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pelo Citizen Lab da Universidade de Toronto e pela Access Now, reportados também pela imprensa internacional especializada em cibersegurança. As imagens incluídas neste artigo pertencem ao relatório do Citizen Lab e são reproduzidas com a devida atribuição.