Como a polícia hackeia telefones bloqueados e extrai dados

Last updated Dez 4, 2022

Um relatório recente lista 50.000 casos em que a aplicação da lei recorreu a empresas terceirizadas para contornar a criptografia em um smartphone.

As medidas de segurança de que os nossos smartphones estão equipados tornaram-se cada vez mais sofisticadas nos últimos anos, desde palavras-passe a impressões digitais, reconhecimento facial e encriptação adicional. Um novo relatório da Upturn, organização sem fins lucrativos de pesquisa dos EUA, revela como a polícia acessou os telefones dos suspeitos, apesar de todas as proteções acima. Ao firmar contratos com empresas forenses digitais especializadas em burlar o bloqueio, as agências policiais receberam acesso a terabytes de dados criptografados.

De acordo com o relatório, as agências de aplicação da lei em todos os 50 estados dos EUA têm contratos com fornecedores como Cellebrite e AccessData para acessar e copiar dados de telefones bloqueados. A polícia então usou as evidências obtidas desses telefones para encerrar casos de alto perfil. Os autores do relatório da Upturn dizem que a prática é em grande parte secreta e corre o risco de criar uma "ameaça inaceitável à proteção da Quarta Emenda" de buscas excessivas.

Entre 2015 e 2019, a Upturn encontrou quase 50.000 casos em que a polícia usou ferramentas forenses de dispositivos móveis (MDFT ). Os autores do relatório argumentam que as ferramentas fornecem informações sobre a vida das pessoas muito além do escopo de qualquer investigação, e poucos departamentos de polícia restringem como e quando elas podem ser usadas. A equipe enviou solicitações de registros públicos para agências estaduais e locais de aplicação da lei em todo o país e descobriu que mais de 2.000 agências estavam usando MDFT em algum momento de suas operações.

“Muitas vezes vemos a desculpa de que as pessoas que vendem drogas ou usam drogas [também] usam telefones", diz Logan Koepke, principal autor do relatório. “Mas é claro que todo mundo usa telefone.”

A polícia pode pedir a alguém para desbloquear voluntariamente o telefone para fins de investigação. Isso é chamado de "busca de consentimento". Seu sucesso é altamente dependente da região. Apturn descobriu que as pessoas no Texas concordavam com isso em 53% das vezes, mas esse número era de cerca de 10%.

Quando o proprietário se recusa a desbloquear o telefone, a polícia deve pedir um mandado. Em 2016, a Apple se opôs a um pedido do FBI para dar aos investigadores acesso a um iPhone 5C bloqueado pertencente a um dos atiradores que supostamente matou 16 pessoas em San Bernardino, Califórnia. O FBI recorreu a uma empresa terceirizada que ajudou a contornar o bloqueio.

Em seu relatório, a Upturn revisou centenas de mandados de busca que exigiam o uso de MDFT para crimes maiores e menores, desde suspeita de assassinato até furto em lojas. Os autores dizem que a polícia muitas vezes forneceu apenas uma desculpa fraca para querer desbloquear o telefone. Além disso, os mandados geralmente não se limitam às informações específicas que levaram a polícia ao telefone. Em vez disso, os mandados e o MDFT permitem que a polícia use qualquer coisa encontrada no telefone contra um suspeito.

Em 2017, a polícia em Coon Rapids, Minnesota, a cerca de 30 minutos de Minneapolis, respondeu a relatos de dois menores brigando por US$ 70 do lado de fora de um restaurante McDonald’s. No mandado de busca, o oficial disse que os dados determinariam "se os textos contêm ou não referências aos US$ 70". A polícia chegou, prendeu os dois jovens e finalmente obteve cópias completas de seus telefones, incluindo registros de chamadas, conteúdo de texto e e-mail, histórico de pesquisa na web e dados de GPS.

O relatório Upturn não indica se os dados extraídos levam a cobranças adicionais. Mas a equipe descobriu que os dados extraídos dos telefones raramente são excluídos. As políticas no Novo México, Utah e Califórnia exigem a exclusão de dados não diretamente relevantes para uma investigação, mas a grande maioria dos estados não. É legal para a polícia de outros estados manter os dados recebidos de um telefone, mesmo que o proprietário nunca tenha sido condenado por um crime.

“O que ouvimos de alguns [advogados] é que uma prisão pode ser feita para obter acesso ao telefone, para que eles possam ser acusados de crimes mais graves”, diz o autor do relatório.

Ele também afirma que a polícia nesses casos diz que está agindo com base no que ele considera uma interpretação errônea da "doutrina da mera visão". Isso permite que a polícia procure evidências de um crime e encontre evidências de outros crimes que estão "à vista" durante uma investigação. Imagine que a polícia está procurando cartões de crédito roubados em um carro e encontra cocaína.

Mas os MDFTs são tão poderosos que Koepke diz que podem dar à polícia amplo acesso aos dados pessoais de uma pessoa. Esses tipos de mandados incentivam a aplicação da lei a investigar não apenas crimes específicos, mas também a vida das pessoas sob vigilância, diz o relatório da Apturn.

“No mundo digital, o próprio conceito do que é e do que não é está completamente fora de controle, principalmente porque as ferramentas forenses móveis permitem classificar os dados da maneira que você deseja”, diz ele.

Embora o Upturn tenha encontrado quase 50.000 instâncias de 44 departamentos de polícia extraindo dados de telefones, o pesquisador acredita que o número real é muito maior. Alguns dos maiores departamentos de polícia do país se opuseram aos pedidos do grupo. Os departamentos de polícia de Nova York, Baltimore, DC e Boston se recusaram a fornecer detalhes sobre o uso dessas ferramentas. Koepke diz que o processo pelo acesso a essas gravações está em andamento.