Ferramenta de hackeamento de smartphones Cellebrite consegue extrair dados da maioria dos dispositivos Pixel… GrapheneOS é a única exceção

 (arstechnica.com)
3 pontos por GN⁺ 2025-11-01 | 1 comentários | Compartilhar no WhatsApp
  • Um briefing interno da Cellebrite vazou e revelou que as séries Pixel 6 a 9 estão entre os alvos dos quais a ferramenta de hackeamento consegue extrair dados
  • A Cellebrite é uma empresa israelense de perícia digital que vende a órgãos de investigação e agências de inteligência do mundo todo ferramentas para extração, recuperação e análise de dados de dispositivos digitais como smartphones e tablets
  • Seu principal produto é o UFED (Universal Forensic Extraction Device), um equipamento descrito como “uma ferramenta para hackear todos os dados de smartphones bloqueados, como mensagens, e-mails, registros de chamadas, fotos e GPS”
  • Um usuário anônimo entrou sem autorização em uma videoconferência da Cellebrite, capturou a tabela de status de suporte por dispositivo Pixel e a publicou no fórum do GrapheneOS
  • Segundo a tabela, Pixels com GrapheneOS instalado estão protegidos em BFU/AFU/Unlocked a partir das versões lançadas depois de 2022, e nos builds mais recentes a extração de dados é totalmente impossível
  • Já no Pixel OS original, o acesso aos dados é possível nos estados BFU (antes do desbloqueio), AFU (após o desbloqueio) e Unlocked (totalmente desbloqueado)

Vazamento de informações internas da Cellebrite

  • O hacker anônimo rogueFed acessou um briefing da Cellebrite no Teams, capturou a lista de suporte para celulares Pixel e a publicou no fórum do GrapheneOS
    • A reunião era um briefing privado para autoridades policiais, e a 404 Media publicou uma reportagem adicional sobre a postagem
    • A captura de tela borrada mostra que, entre os dispositivos que o equipamento da Cellebrite consegue hackear, estão as séries Pixel 6, 7, 8 e 9, enquanto o Pixel 10 não aparece na lista
  • Extração de dados possível em todos os estados: BFU, AFU e Unlocked
    • BFU (Before First Unlock): estado em que o aparelho foi reiniciado e ainda não foi desbloqueado, com a criptografia mais forte aplicada
    • AFU (After First Unlock): estado após ter sido desbloqueado ao menos uma vez, no qual alguns dados podem ser acessados
    • Unlocked: estado totalmente desbloqueado, em que o acesso aos dados é mais fácil
  • A Cellebrite afirmou explicitamente que, no Pixel OS original, a extração de dados é possível em todos os estados, mas disse que não possui função de brute-force de senha

Vantagem de segurança do GrapheneOS

  • Dispositivos com GrapheneOS instalado não permitem extração de dados em BFU/AFU a partir dos builds posteriores a 2022
    • As séries Pixel 8 e 9 bloqueiam completamente o acesso da Cellebrite quando usam GrapheneOS
    • Nos builds posteriores a 2024, a clonagem também se torna impossível no estado Unlocked
  • O GrapheneOS reforça a segurança com ausência dos serviços do Google e políticas de criptografia endurecidas
  • Documentos internos da Cellebrite também mencionam que o “GrapheneOS é mais seguro que o sistema padrão do Google”

Outras informações

  • A Cellebrite também mencionou a impossibilidade de clonar eSIM, e a série Pixel 10 reforça essa limitação ao remover o SIM físico
  • O autor do vazamento afirmou que entrou em duas reuniões no Teams sem ser detectado, mas como o nome do organizador foi exposto, é esperado que as restrições de acesso sejam reforçadas no futuro
  • A Ars Technica pediu uma posição oficial ao Google sobre por que uma ROM customizada criada por uma pequena organização sem fins lucrativos é mais resistente a hackeamento industrial de celulares do que o Pixel OS oficial, mas a empresa ainda não respondeu

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-01
Opiniões do Hacker News

  • O que mais me deixou curioso foi: “por que um ROM customizado feito por voluntários é mais resistente a hacking de nível industrial do que o Pixel OS oficial?” O repórter perguntou ao Google, mas disse que ainda não houve resposta

    • Na verdade, o GrapheneOS não é um projeto de voluntários. Há cerca de 10 desenvolvedores pagos, e o desenvolvimento é financiado por doações em formato de fundação sem fins lucrativos, cobrindo salários e custos de infraestrutura. A Ars Technica também corrigiu isso e não o chama mais de projeto “de voluntários”
    • Fico na dúvida se o GrapheneOS é realmente tão difícil de invadir, ou se a Cellebrite simplesmente não dá suporte por ser um sistema com baixa participação de mercado
    • O GrapheneOS adota um design focado em segurança que sacrifica conveniência para o usuário. Para o usuário comum isso pode ser incômodo, mas em troca a segurança é mais forte. Se o Google adotasse essa abordagem, poderia perder parte dos usuários. Por exemplo, como mencionado nesta thread do Reddit, o Google Pay nem está presente
    • O Google é uma empresa que precisa atender a exigências do governo, então tem mais restrições do que uma organização sem fins lucrativos. Como Ron Wyden apontou em 2023, existem fraquezas estruturais, como o caso em que a Apple forneceu dados de notificações push a governos

  • No post do blog do Signal sobre vulnerabilidades da Cellebrite, dá para ver que a Cellebrite cria soluções para invadir automaticamente o celular-alvo, mas nesse processo o próprio equipamento deles também corre risco de ser invadido

  • Compartilhando o documento completo sem borrão: Cellebrite Android Document (2024). Foi possível encontrá-lo buscando por “android os access support matrix”

    • Mas esse documento é de um ano e meio atrás, então não traz informações atuais. Segurança é uma competição contínua entre atacante e defensor, então esse tipo de atualização é sempre bem-vindo
    • O novo documento não inclui o Pixel 9, então parece que a imagem do artigo foi atualizada

  • Só o fato de a Cellebrite ter mencionado diretamente o GrapheneOS no documento já prova, na minha opinião, o profissionalismo e o senso de propósito desse projeto

  • A fonte é esta thread anterior no HN

  • Fiquei surpreso com a notícia de que a linha Pixel 10 vai remover o SIM físico e aceitar apenas eSIM. Numa viagem ao México, consegui comprar um SIM no 7-Eleven do aeroporto e usar na hora; com eSIM, parece que essa praticidade vai desaparecer

    • O eSIM passa a impressão de ser uma solução em busca de um problema. Os consumidores já estão perfeitamente satisfeitos com SIM físico. Parece mais uma tentativa dos fabricantes de aumentar o controle sobre o usuário
    • Também dá para comprar um eSIM pré-pago antes da viagem
    • Por outro lado, em lugares onde é difícil conseguir SIM, como Montenegro ou Sérvia, o eSIM é bem mais prático. Dá para comprar online na hora, e também existem “eSIMs para todos os países”. A popularização do eSIM parece até ter ajudado a reduzir tarifas de roaming
    • Mas o processo de troca para eSIM ainda é trabalhoso. É preciso falar com o atendimento várias vezes e pode levar mais de um dia. Trocar um SIM físico leva 10 segundos. Talvez tecnicamente faça sentido, mas parece mais um caso de piora deliberada do serviço (enshittification)
    • Essa mudança é limitada aos EUA

  • No fórum do GrapheneOS, os mesmos slides já estavam publicados há bastante tempo

  • Na frase “rogueFed mencionou nominalmente o organizador da conferência”, fiquei me perguntando se estavam falando do FBI

    • Na verdade, não era o FBI, mas sim o funcionário da Cellebrite Alex Rankmore. O screenshot está mais abaixo na thread

  • Fiquei me perguntando por que até hoje não houve casos de equipamentos da Cellebrite vazando e sendo analisados. Imagino que em muitos lugares o controle de equipamentos da polícia não seja tão rigoroso

  • Acho que a expressão “vulnerável a hacking” é exagerada. Esses materiais são apenas gráficos antigos; na prática, o nível de segurança é comparável ao de um desktop com criptografia LUKS.
    Para invadir um Pixel em BFU (desligado), no fim das contas é preciso fazer brute-force da senha.
    A menos que se trate de um ataque de zero-day de milhões de dólares, não existe uma vulnerabilidade de bypass da criptografia do próprio Pixel