Uma reunião privada no ambiente Microsoft Teams da Cellebrite foi invadida e informações confidenciais sobre as capacidades da empresa em desbloquear smartphones foram vazadas.
O leak expõe detalhes técnicos sobre quais aparelhos a companhia consegue — ou não — acessar, e revela uma diferença significativa entre o Android padrão e o GrapheneOS em termos de segurança forense, afirma a 404 Media.
A invasão aconteceu em outubro de 2025, durante uma call de vendas da Cellebrite — empresa israelense que fabrica ferramentas para polícia e governos desbloquearem celulares apreendidos.
Um usuário identificado como “rogueFed” entrou na reunião sem convite, registrou o conteúdo e publicou screenshots no fórum do GrapheneOS, um sistema operacional Android de código aberto focado em privacidade e segurança para dispositivos Google Pixel.
“Você pode entrar numa reunião do Teams com eles. Eles contam tudo. Ainda não conseguem extrair eSIM no Pixel. Pergunte qualquer coisa”, escreveu rogueFed logo após o vazamento. Ele postou dois screenshots: uma matriz técnica de suporte da Cellebrite mostrando quais dispositivos a empresa consegue desbloquear, e a foto do funcionário que conduzia a apresentação.
Cellebrite não funciona em Pixels
Segundo as postagens de rogueFed, a reunião focou especificamente nas capacidades de bypass do GrapheneOS. Os documentos revelam uma diferença significativa entre Android padrão e GrapheneOS em cenários de análise forense.
A Cellebrite consegue desbloquear dispositivos Pixel 9 rodando Android padrão no estado BFU (Before First Unlock — o período logo após você ligar o telefone, antes de digitar a senha pela primeira vez). No entanto, quando o mesmo Pixel 9 roda GrapheneOS, a ferramenta não obtém sucesso no desbloqueio.
A matriz vazada também confirma que a Cellebrite ainda não consegue extrair dados de eSIM dos smartphones Pixel, independente do sistema operacional instalado.
BFU vs AFU: por que isso importa
Os documentos diferenciam dois estados críticos do smartphone: BFU (Before First Unlock) e AFU (After First Unlock). Essa distinção é fundamental para compreender as vulnerabilidades de segurança.
No estado BFU, quando o celular está na tela de bloqueio aguardando o primeiro desbloqueio após ser ligado, todas as chaves de criptografia estão em seu nível máximo de proteção. Nenhum dado do usuário está acessível na memória. É o momento de segurança máxima do dispositivo.
No estado AFU, após o primeiro desbloqueio, algumas chaves de criptografia ficam carregadas na memória RAM para o sistema funcionar normalmente. Nessa condição, o dispositivo fica substancialmente mais vulnerável a exploits forenses.
Especialistas em segurança recomendam reiniciar o smartphone antes de passar por alfândegas ou situações onde o aparelho possa ser apreendido, forçando o retorno ao estado BFU e aumentando a proteção dos dados.
Cellebrite se pronuncia sobre o vazamento
Victor Cooper, diretor sênior de comunicações corporativas da Cellebrite, afirmou em comunicado à 404 Media: “Não divulgamos ou publicamos as capacidades específicas da nossa tecnologia. Essa prática é central para nossa estratégia de segurança, pois revelar tais detalhes poderia fornecer uma vantagem não intencional a potenciais criminosos ou atores maliciosos.”
A empresa vende suas ferramentas principalmente para agências de aplicação da lei e órgãos governamentais que precisam acessar dispositivos de suspeitos mediante autorização judicial.
Quem usa GrapheneOS (e por quê)
O GrapheneOS é um sistema operacional baseado em Android com modificações profundas de segurança. O projeto se define como focado em “substância ao invés de branding e marketing”, priorizando reconstruir a segurança desde a base do sistema.
A tecnologia atrai perfis diversos de usuários. De um lado, jornalistas investigativos, ativistas de direitos humanos, advogados lidando com casos sensíveis e profissionais de segurança que necessitam de proteção contra vigilância. São pessoas com motivos legítimos para usar criptografia forte.
Por outro lado, o sistema também é adotado por grupos criminosos. Após o FBI operar secretamente uma empresa de telefones criptografados com backdoor (a operação Anom), traficantes de drogas e vendedores de tecnologia do submundo migraram para dispositivos GrapheneOS com Signal instalado, segundo entrevistas com vendedores do mercado clandestino documentadas pela 404 Media.
A corrida armamentista digital continua
Este vazamento se soma a uma série de exposições similares. A 404 Media já havia verificado outros vazamentos nos últimos 18 meses envolvendo tanto a Cellebrite quanto sua concorrente Grayshift, agora parte da Magnet Forensics.
Ambas as empresas investem recursos significativos para encontrar novas técnicas de desbloquear telefones. O cenário reflete uma corrida armamentista digital: Apple e Google lançam atualizações de segurança fechando vulnerabilidades, empresas forenses descobrem novas brechas, fabricantes corrigem as falhas, e o ciclo se repete continuamente.
Um vazamento anterior, de abril de 2024, mostrou que a Cellebrite não conseguia acessar iPhones rodando iOS 17.4 ou mais recente. A linha inteira do iPhone 15 estava fora de alcance, independente da versão do iOS. Em contraste, a maioria dos dispositivos Android permanecia acessível às ferramentas da empresa.
Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.