Montagem mostra Daniel Vorcaro, dono do banco Master, e Alexandre de Moraes, ministro do STF
Reprodução/Rosinei Coutinho/STF
Programas usados em investigações da Polícia Federal podem desbloquear celulares e recuperar o conteúdo de conversas no WhatsApp. Em alguns casos, conseguem até acessar imagens apagadas pelo dono do aparelho.
Na investigação do caso Master, a PF realizou uma análise técnica para obter mensagens trocadas em 17 de novembro entre Daniel Vorcaro e o ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF), informou o jornal "O Globo" em 6 de março.
🗒️ Tem alguma sugestão de reportagem? Mande para o g1
A conversa incluía prints com mensagens escritas pelo banqueiro no aplicativo de bloco de notas e enviadas pelo WhatsApp como imagens de visualização única. O jornal afirmou que teve acesso ao conteúdo obtido por um software da PF que exibe, de forma conjunta, mensagens e arquivos, o que permitiu reverter a visualização única.
Em nota enviada anteriormente, Moraes afirmou que os prints de mensagens de Vorcaro não aparecem como enviados a ele e que uma análise técnica indicou que as imagens de visualização única não correspondem aos contatos do ministro.
Vorcaro falou a Alexandre de Moraes sobre salvar Master
O perito em segurança digital Wanderson Castilho explicou ao g1 que a estratégia de Vorcaro de criar capturas de tela do bloco de notas para ocultar o conteúdo das conversas pode, na prática, ter contribuído para criar mais evidências.
"É até mais fácil recuperar imagens do que a conversa propriamente dita. Quando ele transformou a conversa em imagem, deixou um rastro maior", afirmou.
Segundo o especialista, as imagens enviadas por Vorcaro podem ter sido recuperadas de locais como:
O aplicativo bloco de notas;
A galeria de fotos que armazena a captura de tela;
Pastas ocultas que podem manter arquivos temporariamente no dispositivo.
Tanto o bloco de notas quanto a galeria de fotos possuem lixeiras que guardam arquivos excluídos por alguns dias. Mesmo depois de removidos da lixeira, esses arquivos podem deixar rastros na memória do aparelho.
"Conseguimos analisar todas essas correlações e chegar à mensagem de visualização única que, em tese, ninguém mais conseguiria ver", disse Castilho.
A estrutura do WhatsApp, que armazena as conversas no próprio aparelho e não em um servidor externo, permite que autoridades recuperem mensagens quando estão com o dispositivo em mãos, explicou o perito.
O WhatsApp usa criptografia de ponta a ponta, que impede o acesso às mensagens por terceiros, incluindo a própria plataforma. As conversas são protegidas por uma espécie de cadeado, aberto apenas com as chaves armazenadas no celular de cada usuário.
"A segurança está no caminho que as mensagens percorrem. Quando chegam aos aparelhos, elas são descriptografadas e ficam legíveis para qualquer pessoa", resumiu o perito.
Como funcionam os programas usados pela PF
Programas como o israelense Cellebrite e o americano GrayKey, ambos de uso restrito, conseguem acessar mensagens e arquivos em iPhones e celulares Android mesmo quando estão bloqueados.
Outra ferramenta é o IPED (Indexador e Processador de Evidências Digitais), programa criado por peritos da PF em 2012. Ele faz varreduras em celulares apreendidos e permite buscar rapidamente informações em conversas e arquivos.
Segundo Castilho, a técnica usada para extrair os dados varia conforme a condição do dispositivo:
Se estiver com a tela bloqueada, podem ser usados programas como GrayKey e Cellebrite, que tentam descobrir a senha e baixar informações ao se conectar ao aparelho por cabo USB;
Se estiver desligado ou danificado, pode-se usar a técnica chamada chip-off, na qual o chip de memória é removido do aparelho e as informações contidas nele são transferidos para outro dispositivo.
Apesar de arquivos e mensagens não desapareçam imediatamente da memória, o ideal é que a extração com esses programas seja feita o quanto antes.
Foto de visualização única no WhatsApp
Divulgação/WhatsApp
Peritos têm pressa porque alguns registros que ajudam a acessar o material ficam em uma espécie de memória temporária do aparelho, explicou Castilho. É o caso da senha de bloqueio da tela, por exemplo.
Alguns celulares são reiniciados automaticamente para dificultar a extração da senha. A empresa que criou o GrayKey informou em 2024 que uma atualização do iPhone faz o aparelho reiniciar automaticamente se permanecer bloqueado por mais de três dias.
Busca por mensagens
O IPED, criado pela Polícia Federal, facilita a busca por informações em um celular e consegue até extrair texto de imagens.
O sistema usa um princípio semelhante ao de radares de trânsito que fotografam placas e transformam os números em texto para identificação no sistema, explicou ao Fantástico o presidente da Associação dos Peritos em Computação Forense, Marcos Monteiro.
"Todas as imagens são identificadas e transformadas em texto. A ferramenta já pega as imagens, extrai os textos que ali existem, correlaciona ou organiza isso de uma forma legível. E, quando você vai fazer uma busca textual, por exemplo, ela vai identificar esses dados", disse Monteiro. (veja no vídeo abaixo)
O programa permite fazer buscas por padrões, como CPF e valores monetários, o que ajuda a agilizar investigações. Ele também consegue analisar mensagens apagadas, mas não as que têm visualização única.
O código-fonte do IPED está disponível na internet desde 2019, permitindo que desenvolvedores contribuam com melhorias na ferramenta.
Fantástico mostra como funciona ferramenta que faz varredura em celulares apreendidos pela PF
