1 N S 'J' 1 'J' U 'J' O B R 1\ S I L E I R O D I •: J> E R 1 'J' O S

• PARECER IBP18064
BL A IRO BORG E S MA GGI
CONSU I. I•:N T I •:

•
S :\ O P .-\ U L O , l 2 D E S E T E ~I B R O DE 2 O1 8

I NSTITlTO B 1tASII .J•:mo !)E l'Elt !T0S E~I C< )~li''1tc:10 1-:1.ETlt<°lN IC:O E 'f'El.l,~J,\TIC:.\ I .Tl)i\. - 1Bl' BRAS Ii .
.\ t. CA~ll'I N ,\ S, 463 - 13°. \ N IM !t - .) 1\ltl)IM l',\L'I.IST,\ - S,\o l'A L' I.O, SI', Cl •: I' 0 1404- 100
'1'1:.1..: (1 1) 3938-3900 \X\\'\X'.l'ERIT0.C:0~l.lllt
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPl8064

SUMÁRIO

1 OBJETIVO ...................................................................................................................................... 3

2 METODOLOGIA E PEÇAS SUBMETIDAS A EXAME .......................................................................... 3

3 QUESITOS APRESENTADOS PELO CONSULENTE ............................................................................. 4

4 APLICATIVO DE TROCA DE MENSAGENS INSTANTÂNEAS "WHATSAPP" ........................................ 6

4.1 INSTALAÇÃO E REGISTRO ........................ ...................................................................................... ..... 6

4.2 TROCA DE MENSAGENS ........................ ........................... ....... ....................... ........ ........................... 7
4.3 APAGAR MENSAGENS ....................................................................................................................... 9
4.4 BACKUP DE CONVERSAS .................................................................................................................. 10

5 ANÁLISE DO "WHATSAPP" VIA CELLEBRITE UFED ........................................................................ 10

5.1 INSTALAÇÃO E REGISTRO ................................................................................................................. 10

• 6

7
5.2
5.3
TROCA DE MENSAGENS ........... ....................................................................................................... 11
APAGAR MENSAGENS ..................................................................................................................... 12

ANÁLISE DOS LAUDOS ................................................................................................................. 13

RESPOSTA AOS QUESITOS APRESENTADOS ................................................................................. 16

8 CONCLUSÕES .............................................................................................................................. 22

, ~ ~ ITI L-ro Bll \ SI l.léll((l l)E l'l'.IUTOS l·.'1 C:0~11·;1((;10 l •:1.ETll()--.:1c:o I'. T l'.l.1·-11 i ·n c.1 1; m \ . - llll' HR/\Sll •
. \ L C.\\ll'l~.IS. 4(,.' . U " .\ ~D.IR. S \o I' l l.:1.!l, SI', C l·:1' 0 1404- IIKI
Ti·.1..: ( 11) 39J8.1f/lKI IIW" . l'lilllTO.c:Oll.llll
2
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO Il3PI 8064

1 OBJETIVO

\tendendo à solicitação do Sr. Blairo Borges Maggi (consulente), analisar

elementos relacionados à coleta e preservação de dispositivos móveis que foram
apresentados em laudos da polícia federal e responder aos quesitos elaborados
pelo consulente.

2 METODOLOGIA E PEÇAS SUBMETIDAS A EXAME

• O IBP é um dos principais centros de referência sobre metodologia pericial

e laboratorial para exame de sistemas digitais complexos. Para tanto, dispõe dos
principais softwares forenses certificados em nível mundial para análises não
. . . .
intrusivas de sistemas operacionais, sistemas aplicativos e redes de
computadores.

O consulente forneceu os seguintes documentos para exames:

• peca_18_Pet_7220.pdf: Arquivo com o Volume 2 da Pet. 7220 -

STF, contendo os Laudos de Perícia Criminal Federal nº 757 /2017,
758/2017 e 759 /2017 e o Relatório de análise parcial dos Laudos de

• Perícia Criminal Federal nº 757 /2017, 758/2017 e 759 /2017, cujo

código hash calculado em algoritmo SH.A-1 corresponde a sequência
hexadecimal "ad96f88e28160ebf38f885a4c9427e5db33e1732";

• peca_47_ lnq_ 4596.pdf: Arquivo com o Volume 6 do Inquérito

4596 - STF, contendo o Relatório de análise nº008/ 2017 e o Relatório
de análise parcial dos Laudos de Pericia Criminal Federal nº
757/2017, 758/2017 e 759/2017, cujo código hash calculado em
algoritmo SHA-1 corresponde a sequência hexadecimal
" 0527 e81 0d90e0d322e461796e3aef2ab8c77835f';

1,sH1 no Bit \SII l:Jll(l 1)1. l'rnnn~ 1.\1Co.11(·.1t(]() 1-:1.i::T1t<l,1C:O E Ti.1 .1'.\ I \TIC.\ 1.11> \. - llll' IIR:\ SIL
.\ 1.. <: \\11'1'-.1~• .J(,.\, 13" i\..'-D.1 ll. S iO l'.l l 'I.O, SI'. CI il' (1 I .J(I.J-l(MJ
T J:J ..: ( 11 ) 39.' \K-.\')IMI 1nxw.1•1•. ltrlO.C(nl.lm
3
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO l 13Pl8064

• Laudos 161-162-163.pdf: Arquivo contendo os Laudos de Perícia

Criminal Federal nº 161 /2018, 162/2018 e 163/ 2018, cujo código
hash calculado em algoritmo SHA-1 corresponde a sequência
hexadecimal "7d9936667366559d254bdd014f26b30f432f4283";

As análises englobaram a avaliação de registros e funcionamento do

aplicativo de troca de mensagens "WhatsApp" e da metodologia utilizada pela
polícia federal para realizar a coleta de dados nos dispositivos de comunicação
móvel apreendidos, além de outros aspectos relacionados aos laudos
disponibilizados .

• 3 Q UESITOS APRESENTADOS PELO CONSULENTE

O consulente solicitou que os seguintes quesitos fossem respondidos:

1. O procedimento realizado em busca e apreensão de celulares deve

incluir a ação de interromper a conexão do dispositivo com a rede de
dados no momento da apreensão, o u seja, colocar em "modo avião",
de forma a garantir a higidez da prova?

2. Caso tivesse sido seguido o procedimento descrito no quesito

• anterior, seria possível que men sagens do aplicativo Whats.App, que

depende da rede de dados, tivessem sido entregues ao celular
apreendido ho ras ou mesmo momentos após a apreensão?

3. o caso em tela, referente ao descrito às fls. 504 do Vol. 02 da Pet.

7220, há indícios de que os dispositivos não foram colocados em
" modo avião" após a apreensão, indicando gue o procedimento de
busca e apreensão não seguiu a melhor metodologia?

l:S.S'I ri L- 10 lllt\:;11.1·.llt() l)f-. l'lél\l l ()S 1, 11 Cn~ll°él\Cl(l E l.l, I llÚ:S. IC() E T I-.I .I'-" í·, IC: 1 I.Tll 1. - IBI' BR. \SII.
.\i . C:1111'1~ IS. -l(,.\ l.\• .\:s.11 11t. S .\O l' I LI.O. Sl'.Cl·:Plll-lil-1- II KI
T EI-: ( 11) .\938-591 KI 11·11, ~·.1'1'.ltl'I Cl.CO.II.IIH
4
 INSTITUTO BRASILEIRO DE PERITOS
P/\ RECER TÉCNICO IBP l 8064

4. Q uais são os modos possíveis de extração de conteúdo dos celulares

Apple iPhone 7 (A 1784), Apple iPhone 6S (A 1688) e Apple iPhone
7 Plus (A 1661) via Cellebtite UFED ?

5. É possível realizar a extração física dos celulares Apple iPhone 7

(A1784), Apple iPhone 6S (J\1688) e Apple iPhone 7 Plus (A1661)
via Celleb1ite UFED ?

6. Q ual é o procedimento necessário para utilizar a aplicação

" WhatsApp Web/ Desktop"?

• 7. Existe outro método de acesso remoto ao "Whatsapp" do usuário

que não seja po r meio da aplicação "WhatsApp Web/ Desktop"?

8. Há registros no aplicativo "WhatsApp" que identifiquem se existem

conexões es tabelecidas por me10 da aplicação "WhatsApp
Web/ Desktop"?

9. Q uais as formas existentes para deleçào de mensagens no aplicativo

"WhatsApp"?

10. Há possibilidade de iniciar uma seção do "WhatsApp Web/ D esktop"

que esteja atrelada a um celular apreendido? E m caso positivo, como

• isto ocorreria?

11. Há regis tros da autoria ou origem das deteções de mensagens do

"WhatsApp" apresentadas na "Análise Parcial - Laudos N º
757 / 2017, 758/ 2017 E 759 /201 7" (fls. 494 em diante)?

12. H á regis tros da autoria o u origem das deleções de mensagens do

"WhatsApp" apresentadas nos Laudos Nº 161 / 201 8, 162/ 2018 e
163/201 8?

l:--.s-11 ru U 1\1( \ SII.EIKl 1 1)1 . l'Eltrl ()~ E\I Cll.\11'.ll Cl(l 1,1.1 , m ( "l(:(l li TI .1.1 . , , ÍTI<:., J. n> \. - 1HJ> Bit.\SI J •
.\ L e., \11'1:--. .,s. -lú.>. u·· .\:-SI) lll. S io J> l l"l.0 , SI', CI él' 111 -111-f. l!Nl
T EL: (11) .W .18-.WlKI \\W\X-.l'i,lffltl.CO\I.III!
5
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPl8064

13. A prova apreendida (no caso, os dispositivos de comunicação m óvel)

pode vir a ser contaminada ao lo ngo do processo de extração de seu
conteúdo, caso não seja utilizado o modo físico de extração?

14. Considerando a informação do laudo de que houve deleção de

mensagens, há no laudo evidências que apo ntem para deleção de
forma remota? Justifique.

15. Considerando a info rmação do laudo de que ho uve deleção de

mensagens, qual a fo1ma empregada? Justifique .

• 4 APLICATIVO DE TROCA DE MENSAGENS INSTANTÂNEAS

"WHATSAPP"

O WhatsApp é um aplicativo para smartphones e tablets que permite a troca

de mensagens entre usuários e grupos e o envio de áudios, imagens, vídeos e
arquivos, além de possibilitar a realização de ligações VoIP por meio da rede de
dados.

A partir da versão de 31 de março de 2016 do Whats.App, todas as conversas

passaram a ser criptografadas fim-a-fim. A base da criptografia é o "Signal
• Protocol" desenvolvido pela Open Whisper Systems 1•

4.1 I N STALAÇÃO E REGISTRO

Para realizar a instalação do WhatsApp no dispositivo eletrônico o usuário

deve realizar o download a partir da loja de aplicativos correspondente ao
sistema operacional do dispositivo.

O registro de conta no WhatsApp é feito po r meio do número de telefone,

de forma que a conta do usuário fica atrelada a ele. Assim, a conta só pode ser

1
https://www.whatsapp.com/security/
1, s-1T1 L..1( ) B K.l ~ILl-.lllC ) Il i l' Ulrl o, 1•.11 C:Cl.111°•.IICIO 1'1.E l llÚ~IC:() E T i·J .F..\ 1 i nc: 1 1:m \. - 1BP BR.\ SI, .
.\ L C: 1\11'1:S. 1,, .\(,., . u· . \ ~D.I li. S.io l'.IL"I.O. SI'. Cl •:J> 111411+ IIH I
Tl, I..: ( 11 ) .19JK. J'>l~I IIW\l'. l'E ltrl O.C:0.1 1.1111
6
 INSTI TUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPl 8064

verificada com um número específico de registro, não sendo possível criar ou

utilizar a mesma conta com dois números distintos de telefone2•

Ao registrar o número de telefone, o cliente do WhatsApp envia a chave

pública de criptografia que está atrelada ao seu identificador de usuário para os
servidores do aplicativo. Já a chave privada fica armazenada no próprio
dispositivo, de forma que o servidor do WhatsJ\pp, em nenhum momento, tem
acesso a esta chave3•

Além disso, a conta fica atrelada também ao armazenamento em nuvem

utilizado pelo sistema operacional que pode ser, por exemplo, iCloud o u
• Google Drive. Nesta conta podem ser armazenados eventuais backups do
aplicativo, conforme escolha do usuário • •

4 .2 TROCA DE MENSAGENS

As conversas podem ser feitas entre usuários ou grupos de usuários. Ao

iniciar a comunicação os clientes estabelecem uma sessão criptografada uma
única vez. Essa sessão pode ser perdida caso haja desinstalação do aplicativo ou
troca de dispositivo eletrônico 5.

•
O WhatsApp permite que o usuário utilize o aplicativo do celular (principal)
o u a plataforma web, que pode ser utilizada por meio de navegadores ou de um
aplicativo desktop e é uma extensão da plataforma celular.

Para utilizar a plataforma web, é necessário realizar preliminarmente a leitura

de "QR code" a partir do dispositivo móvel principal para que as plataformas

2
https://faq .whatsapp.com/pt_br/general/2 1009863/?category=5245245
3
https://www. whatsapp.com/security/ WhatsApp-Security-Wh itepaper. pd f
4
https://faq. whatsapp.com/search?q=backup
5
https://www.whatsapp.com/security/ WhatsApp-Security-Wh itepaper.pdf

1:--s-nTL"l(l Bll.l SII.I.IR() llE i'ERITOS E\I Co.1 11°'.11c 10 " '-E'111c'>;-.; 1cn I·. T E l.l'..11.iTIC.I J;m 1. - IBI' BR,\:-11 •
. \ 1.. C \ ~l i'! , I S, -16:l. U" .\ :-.D.IR, !- i.o I' IL'I .O. !si', Cl •: J> Ol-10-1- Hkl
Tl·.I..: ( 11) .W:\8•.W(K) IXWll'. l'EIIITO.C:Cl.11.1111
7
 INSTIT UTO IJRASILEIRO DE PERITOS
PA RECER T l~CNICO IBPl8064

sejam sincronizadas, con forme Pigura 1 e Pigura 2. A partir de então, qualquer

ação feita pelo celular é aplicada na platafo1ma web e vice-versa6 .

Para usar o WhatsApp no seu computador

1 All<• o Wh•tsApp om ""° tttetone

2 Toque tm Mtnü ou Conf19uraç6e1 e 1electone
Wha1aApp Web

J Aponte u u 1tfefone ~ ra n ta 1t11 p.41ra u p1ur•r o código

• f-'igura 1. Tela de login do Whars. \pp Web.

Para usar o WhatsApp no seu

computador:

1 Abra o WhatsApp em seu telefone

2 Toque em Menu : ou Configurações @ e selecione

WhatsApp Web

•
3 Aponte seu telefone para esta tela para capturar o código

rigu ra 2. Tela de login do \Xlhars. \pp Deskrop.

Cumpre notar que, de acordo com informações p ublicadas pelo próprio

Whatsr\.pp, atualmente não há outra maneira de fazer login do aplicativo no
computador7 .

6 https://faq . wharsapp.com/pt_ br/web/260000 l 2/?category=5245235

7 https://faq. whatsapp.com/ pt_ br/web/28080003/?category=524523 5
1'-S II rt I O !li\ 1~11 1 11\ll DI l'I 1\1 1llS 1 \ I Ccl\11 RC: ICl I ÔI.I I IIÚ'-I C.O I T I.I 1 \1 ÍTI<. 1 1. llJ 1. - 1Hl' BIC\SII .
º·
\1 . C \\11'1:-. I S. 4(,.,. 1, • . \ ,n li\. S 1() l' \L' I S I', ( :t-:l' O140-1- l(KJ
Tu ..: (1 1) \93>1-\91KI IIWIU'I RI ro.Cll\l.llll
8
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPl 8064

o caso de o usuário não marcar a opção "Mantenha-me conect'ldo" ao

fechar a janela do navegador ou o programa (plataforma web) a conexão é
cancelada, sendo necessário realizar a leirura do "QR Code" novamente. No
caso de esrn opção estar selecionada, o usuário é desconecrndo apenas após um
período de inatividade. Todas as sessões ativas da plataforma web ficam
registradas no aplicativo de celular, no menu "Ajustes/Configurações >
WhatsApp Web".

Além disso, como se trata de uma extensão do aplicativo do celular, a

plataforma web obrigatoriamente se conecta ao celular para sincronizar as
• mensagens, portanto ela não funciona caso o celular esteja desconectado da
rede8.

4.3 APAGAR MENSAGENS

O Whats.App permite que mensagens sejam apagadas9 de conversas

individuais ou em grnpo. O usuário pode escolher entre "apagar para todos" ou
"apagar somente para mim".

Como indica o nome, a opção "apagar somente para mim" não produz
efeito no lústórico de mensagens armazenado nos dispositivos do (s)
• destinatário(s), assim como ocorre como o recurso "limpar conversa". A opção
"apagar para todos", por sua vez, substitui as mensagens apagadas em todos os
dispositivos, do remetente e do(s) destinatário(s), por um alerta que informa
"Esrn mensagem foi apagada".

Outra maneira de apagar mensagens é por meio da deleção da conversa ou

do grnpo. Neste último caso, é necessário ter saído do gn1po antes de deletá-lo.

8https://faq .whatsapp.com/ pt_br/web/28080002/?category=5245260

9 Cumpre notar que, conforme o website oficial do WhatsApp (https://blog.whatsapp.com/), a
funcionalidade de apagar mensagens foi disponibilizada aos usuários em 31 de Outubro de 20 17, mais de
um mês e meio após a busca e apreensão, e somente funciona quando as duas partes, remetente e
destinatário, têm a versão atualizada do aplicativo.
l '.'S l rn.-1O 111\.\ Sll.l .l l\O l>I·. l'Eltrl O~ E.\ I c:0, 11°•.llUO 1-:1.E I ll( l:-. IC() 1·. '('l(IL \I i •11c: 11. rll \ . - I IW IIR:\SII.
.\ 1.. C: 1~11'1:-.., s. 4(,.1 , u ·· .\ :-.ll.lll. S i o I' I C l.<l, SI'. C:l'. I' 111 -ICl-1- ICMI
'1'1·.1 .. : ( 11) .W.\ !1-.WlMI \\"\~\\ .l'l'.lllTO.C:O ~l.llll
9
/Jr
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPl8064

Além disso, se a deleçào da mensagem ocorrer a partir da plataforma web, a

mensagem só é apagada do dispositivo móvel (principal) caso ele esteja ligado
e conectado à rede de dados e, portanto, esteja sincronizando com a plataforma
web.

4.4 BACKUP DE CONVERSAS

O backup das conversas pode ser configurado pelo usuário, não é

criptografado e fica armazenado em nuvem ou no próprio dispositivo,
dependendo do sistema operacional. Ao inst'llar o aplicativo em um celular
• novo, ou mesmo reinstalá-lo no aparelho, é possível realizar o download do
backup e restaurar as conversas e mídias (fotos, vídeos, etc.) a partir dele.

5 ANÁLISE DO "WHATSAPP" VIA CELLEBRITE UFED

O Cellebrite UFED é uma solução proprietária com capacidade para extrair

e decodificar a maioria dos dados de dispositivos eletrônicos e aplicações 10.

A aplicação utilizada para analisar o conteúdo da extração é denominada

"UFED Physical .Analyzer".

• 5.1 INSTALAÇÃO E REGISTRO

O UFED Physical Analyzer identifica o registro do aplicativo instalado,

conforme Figura 3. Além disso, pode-se verificar o registro de usuário do
WhatsApp no fo1mato " 111ímerodetelefone@s.whatsapp.net", como por exemplo
"5511xxxxxxxxx@s.wbatsapp.net" , e também o nome com o qual o usuário
se identifica no aplicativo, conforme Figura 4.

'ºhnps://cf-media.cellebrite.com/wp-content/uploads/20 18/08/DataSheet_ U FED-

U ltimate_ LTR_Aug2018_ WEB.pdf
1:--:STI I L-10 llH ISII.EIR() t>I·. l'liHITOS E\I Ü)\li'illCIO "I.E'lllÚ:--:tco E 'l'EIL\LÍTIC:.\ LID.1. - I HI' BRt\S l L
.\f _ C.1.\ll'l:S..IS, 4(,3. 1.1" t\:--:t>.llt, S.\O l'.l t:1.0. S I'. Cl•:I' (114(1-1-f(k)
'l'EI..: ( 11 ) 39.,H-39CK) \~ '\\W.l'Ett rrn.c o .11.1111
10
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCN ICO IBPl8064

--- -- --
Aplicativos instolodos ( 1)

• ..... ONqlo
1
-.cao•-- ~ ......... ' Eldlllil
1 Yl'hatsApp verdo: ~S~ ~~~~6fOA-<!EOA 78E• • O olacloCOff1)1'a Conta<lS
2 17 82 10
Decocllkaclo. nel whalSaDP WhatsAl>O
Instaiº""'
Dm c1o oxwlio
Photos
Mtcro!>l>one
Sim P hotos
Arquivo cio C.1tend.lrs
origem. Mloopnone
=--il'hon•
(A 1796).,._g,
7
Cont:lcts
Coot:lcts
M1croonono
dluP P ho11>5
SeMcei•l99ba P holOs
51Me e ~1c9 C.1Jencu .rs
33919c~Otxbel!
0303eJ81/SnJp
-........, ot
• t : o=
(Tam:>nllo.
82171 bylU)

Registro do aplicativo instalado .

• p~ Hon cio Inicio: 1011W:!O 18 17:08:34(UTC• O)

: -• : - .J,.wllOtlQPl).net
Ultllrw - : 1008/2018 17.08:0,(UTC+O)
Númen, cio - -: O

• • • • • _!s.whatlQPl).nct

• Te.tte lpl>One l~LÔno)

- . ss ·.
Origom: l'l'hotaApp
Arquivo do CO<pO: dlà- 1.lx1
- . ,•;·.~:;,... - "@g.us

Figura 4. Registro do aplicativo 111stalado.

5.2 TROCA DE MENSAGENS

O UFED Physical Analyzer apresenta todos os registros de mensagens

recuperados da memória do dispositivo. Para tanto, o programa extrai a base
de dados de conversas do WhatsApp do dispositivo, remove a criptografia e
decodifica o seu conteúdo, mostrando as mensagens gue estão na m em ória e,
• se disponíveis, registros sobre aquelas gue foram apagadas.

Os timestamps presentes no relatório gerado pelo UFED Physical Analyzer

são referentes às datas de registro das m ensagens no sistema, ou seja, às datas
de recebimento das mensagens. Adicio nalmente aos timestamps, são
apresentados os conteúdos das mensagens, os usuários que as enviaram, a
platafo1ma por onde foram enviadas (Celular ou computador) e o status da
mensagem (enviado ou lido). A Figura 5 e Figura 6 exemplificam os timestamps.

1:-:s-rrrnn HR ISII.Ell\0 llE l'F.lllTOS E~I Co.11i", 1u:io 1-:1.ET RÓ' iU) E T FJ .F_\I.ÍTl<:.I l :m \. - 11!1' BRt\Sll.
.\1.. C.1.I JJ>l :--..1s , -1(1 \ U • .\ -..;D.llt, S.\O I' 11.:1.0, S I', Cl•:J> ll l-10-1- JINl
T i·.I ..: (11) .W.i ll-.WIN ) 1n n1°.l'ERI 10.C:Cl\l.llll
li
 INSTITUTO BRAS ILEIRO DE PERITOS
PARECER T~: CNICO IBPI8064

1l)jQll20111r.clt:34(11TC+O)OINf - _ S,.,,, . . _ ~ .._ )

Messages IO tl1lS group are now secured Wlth end-lo-end enayplloo. Tap foi more 1nlo

- - - c.u..

~
-c.u.,
---~-
1l)jQll201117:0I· C+O~S,.._.._~.._)
~

1l)jQll201117,DIA1(UTC+O)OINflo,-.-.:Jll-
Ol3

f-igura 5. Timestamps disponibilizados no relatório gerado pelo Cellebritc UFED.

CIMll/201114:24:lO(UTC~ s..., . . _ ~ "'->

Messages IO thlS group are now secured wttn enó-lO-end enoyptJon. Tap for more lnfo

• C I M l l / 2 0 1 1 1 4 : 2 1 4 ~ !~
mensagem 1

-1114:24!4 1 ( \ I T C ~#,IK
mensagem 3
•i

- · 14:24:,M(UTC~:s.ido.~ -~ -~ ~ -, ( T - _,,_,
Você exdulu esta mensagem

Figura 6. Timestamps disponibilizados no relató rio gerado pelo Ccllebritc UFED.

5.3 APAGAR M ENSAGENS

o caso de mensagens apagadas, o relatório gerado pelo UFED Physical

• Analyzer não apresenta timestamp indicando o horário o u dia em que a
mensagem foi apagada. As info1mações apresentadas para mensagens apagadas
permitem confirmar que elas haviam sido recebidas em determinado horário,
mas que não estão mais presentes na memória do dispositivo. A Figura 7
exemplifica o timestamp observado para mensagens apagadas.

1:-:STI r n () Ili( I Sl l.l,11\0 1)1-. l'l, ltrl ()~ l'.\I C:011fmc10 1-:1F mó:-.1c o F T1 :1.1 ..\1i I IC 1 1. tn \ . - IBI' IIR. \ S I J.
.\ 1. C.1.111'1' 1~. -1(,:\, LI" .\ :-:D lll, S.io I' IL"I.O, SI', Cl •:I' IJ I-IH-1- ll kl
)li
Tt-:1..: (1 1) .,'HR-.WIH) 1nnl'.1'1'.l\ l'I O.C(l.\ l. l\l\
12
 INSTITUTO 13RASILEIRO DE PERITOS
PARECER TÉCN ICO IBP l8064

~~~~~~½~}it::~· ....:'- ~-:~~

1
• : ~ ,.· : • • ~ ,:,.":~ ~-~---· • ~~~.~·: ,l •f ' ;..,_•~~ ,
1
-' • / • .~ -. . . : _ .. -
. :J•~--~-~-:··. :•·--:~1-~ '• 4;~: • _- .;_~.......-<· •'_i :· ;:- :,,
2l1Ui2017 2 l : 1 l ; 1 9 ( U T C - O ~ ~-~ ~ ~•t, Eadllda
.J; ·...t:;:,~;!.,:..:~
! whats._,pp ncl ~ . . . _. ....:
,_,
Exemplo de Timestamps com mensagens apagadas (marcação "Excluído").

• 6 ANÁLISE DOS LAUDOS

A Pet 7220 inclui os laudos 757 /2017, 758/2017 e 759 /2017 e a "Análise
Parcial - Laudo 757 /2017, 758/2017 e 759 /2017". O Inquérito 4596, po r sua
vez, inclui os laudos 161 /2018, 162/2018 e 163/2018.

Os laudos tratam sobre a extração de dados dos celulares Apple apreendidos

em 14/09/2017, respondendo quesitos relacionados a características dos
celulares, números habilirndos, conteúdo da memória e indícios de formatação.

• A Tabela abaixo relaciona cada laudo a cada celular apreendido .

LAUDOS
DONO
757 /2017 e 161/2018
Blairo Borges Maggi
758/2017 e 162/2018
l'vlinistério da r\gricultura (em
759/2017 e 163/2018
T ere.zinha de Souza
posse de Blairo Borges Mamn) Maí!rri
MODELO Apple iPhone 7 r\pplc iPho ne 6S (A 1688) Apple iPhone 7 Plus
(r\ 1784) (A1661)
IMEI 356572082551845 353311078077884 355373080060306

Em relação ao conteúdo da memória dos celulares apreendidos, os laudos

mencionam que os dados extraídos se encontram em um HD da marca Seagate
com número de série NA8CQQPD e capacidade de 1TB. Além disso, afirmam
que não há indícios de formatação dos dispositivos em tempo próximo à
apreensão.
1:-:,rn L- ro IIR.ISll.l·.11\\l 1)1•: l'EI\ITOS l'.~I C:0111'.I\Cl\l 1-:1.F:rnú:-: 1co E T ELE.l i ÍT IC I I.TD 1. - 181' BIC\Sll .
. \ 1.. C: 1111'1:-: I S. 46\ u ·· .\ :,;n IR, S io I' I CI.O. SI'. Cl•: I' IJ 140+- I(~J
T F.I..: ( 11 ) .W."18-.'\'Jl~J 1nnx . l'ElllT\l.C\l~ I. III\ 0

13
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNI CO IBPl8064

No documento "Análise Parcial -Laudo 757 /2017, 758/2017 e 759 /2017",

elaborado na data de 20/12/2017, juntado na Pet. 7220 às fls. 494 a 506, o
\ gente da Polícia Federal afirma gue na data de 14/09/2017 o celular de Blairo
Borges Maggi "continuo u recebendo mensagens via WhatsApp durante todo o
dia - mesmo após a apreensão do referido aparelho".

Tal afirmação indica gue o celular não foi mantido desligado após a
apreensão, ato que garantitia a higidez da prova apreendida. Esse procedimento
é recomendado pela própria Polícia Federal 11 :

" (...) No caso de celulares, hand held, palm top, agendas e

• similares, desligar o equipamento e religa-lo para verificar se

há necessidade de senha de acesso. Se ho uver, peça que o
usuário a informe e registre no respectivo auto
circunstanciado. Desligue o equipamento e mantenha-o
desligado. (...)"

Além disso, a Análise Parcial dos Laudos mencio na gue foram encontrados
registros de exclusão de um gmpo de WhatsApp no dia da operação de busca
e apreensào (14/09/ 2017) e após o celular ter sido apreendido:

fls. 504 da Pet. 7220: " (...) não se vislumbra possibilidade de

a conversa do grupo ter sido excluída antes de o celular ter
sido apreendido, tendo em vista que a referida apreensão se
deu no período da manhã do dia 14/ 09/ 2017, indicando que
p ossivelmente o aparelho tenha sido acessado remotamente e

• delctado as mensagens apó s às 19h36m 44s. (...)" .

A afirmação acima corrobora o indício de que o celular não foi mantido

desligado após a apreensão, desrespeitando procedimento recomendado pela
Polícia Federal e consequentemente a higidez da evidência.

Cumpre notar que a Análise Parcial dos Laudos não apresenta provas em
relação à deleção das conversas e, confonne informações expostas nas seções
anteriores, para que as dcleções ocorressem de forma remota, se1ia necessário
(i) a existência de uma sessão de Whats.App Web (via navegador ou via

11 Conforme publicado no website do Conj ur: https://www.conjur.corn.br/dl/manual-protogenesl.pdf

1, sT ITUO HI\ \ SII.Ell\(l 1) 1-. l' l·.1\1 1()~ 1, \1 ec,., 11:.l\<.lll l ·:1.Ell\Ú,1ú l I·. T EI.L\f i TIC.1 l : m \ . - IBI' llll.\ SI1.
.\1 _ C , ~, l'l:S: \ S. 4{,~. U " . \ '-IJ.\I\ . Si.o I' \l"I.O. SI'. C I , I' li 1404-- 11 MI
T1:1..: ( 11} ."\9., 8 -."\!/lkl \l"\~'\l". l'l(H ITO.C:Cl\1.111\
1-1
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPI8064

aplicativo desktop) e (ii) que o celular estivesse conectado à rede de dados. Não
consta nos Laudos que tenha sido identificada qualquer sessão de WhatsApp
Web nos dispositivos apreendidos.

Finalmente, os laudos 161 /2018, 162/2018 e 163/2018 referem-se a

solicitações feitas pelo Delegado de Polícia Federal, contidas nos Memorandos
3986/2017 de 21/12/2017 e 0032/2018 SR/PF /MT de 10/01/2018, com os
quesitos relacionados aos vestígios de deleção de conversas do aplicativo
WhatsApp.

os laudos 161/2018 e 162/2018 o perito informou haver registros de

• mensagens deletadas, para as quais os horários de recebimento estavam entre
00:00:11 e 20:36:44 (UTC-0300) e 01 :08:27 e 07:16:44 (UTC-0300) do dia
14/09/2017, respectivamente. Nesse sentido, corrobora o indício de que os
celulares permaneceram ligados e conectados à rede de dados após a busca e
apreensão, como já mencionado no documento "Análise Parcial - Laudos N º
757/2017, 758/2017 E 759/2017".

Já no laudo 163/2018, o perito informou haver registros de mensagens

deletadas, para as quais o horário de recebimento era 01: 14:47 (UTC-0300) do
dia 14/09/2017, momento em que Terezinha Maggi não tinha ciência que seu
• aparelho celular seria apreendido e que, portanto, poderia fazer pleno uso do
aparelho.

No tocante à data de deleçào dessas referidas mensagens observadas para os

três dispositivos, o perito é categórico ao dizer: "Não é possível determinar
quando as deleções ocorreram. (...)" (fls. 2488).

1,sTITL"I() llll ISII.EJll() l>E 1'1·.ltrl<lS l'. \I C:0\11·.llC:IO E1.., :T1tc'i:-;1co F. 'f'EI.Dl.iTIC: 1 l. rn \. - IH!' HR:\ ~11.
,\ !. C: \\11'1:--.., s, 4ú.l U" .\ :-;n lll. S.io l'.IL' I.O . SI'. CJ, I' 0 l41l+ JI XI
:w,11-:wm
'f'EI..: ( 11 ) 11'\\'\\'.l'l·.lll'l'O.C:O\l.llll
15
 INSTITUTO BRASILEIRO DE PER ITOS
PAR ECER TÉCNICO IBPl 8064

7 RESPOSTA AOS QUESITOS APRESENTADOS

Com base nas peças submetidas para exame e análises realizadas, as

respostas aos quesitos formulados pelo consulente são apresentadas a seguir.

1. O procedimento realizado em busca e apreensão de celulares deve

incluir a ação de interromper a conexão do dispositivo com a rede
de dados no momento da apreensão, ou seja, colocar em "modo
avião", de forma a garantir a higidez da prova?

Sim. Para preservar a prova de qualquer contaminação, é recomendado

• que o dispositivo de comunicação móvel seja desligado e/ou colocado

em "modo avião" imediatamente após a sua apreensão, visando encerrar
qualquer comunicação com a rede de dados.

2. Caso tivesse sido seguido o procedimento descrito no quesito

anterior, seria possível que mensagens do aplicativo WhatsApp,
que depende da rede de dados, tivessem sido entregues ao celular
apreendido horas ou mesmo momentos após a apreensão?

Não . .A partir do m omento em que a conexão do dispositivo móvel com

• a rede de dados é encerrada, toma-se impossível o envio e recebimento

de novas mensagens.

3. No caso em tela, referente ao descrito às fls. 501 e 504 do Vol. 02

da Pet. 7220, há indícios de que os dispositivos não foram
colocados em "modo avião" após a apreensão, indicando que o
procedimento de busca e apreensão não seguiu a melhor
metodologia?

Sim. As fls. 501 é mencionado que o celular continuou recebendo

mensagens mesmo após a busca e apreensão. J á às fls. 504 é mencionado

IS S"I rI n'O Ili\ ISll.l·.1 11\l Ili·. 1'1·.RI lll~ 1·.\I C:Cl\lt', I\C I() l·: t.ETI\ÚSI C:() I·. T t-:1.1" 1 i·nc I I.TD 1. - IBI' IIR. \ SII.
.\ 1.. C 1111'1:-- I S, -1<,3. l.l" . \SI> 11\, S.\ O I' IL' l.0. SI'. Cl •:I' Ol-10-1- IIN I
TE! ..: ( 11) .W.\K- WINI 11'\\'11 . l'EIU l'Cl.C:Clll.1111
16
i
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBP I8064

que a busca e apreensão ocorreu pela manhã e que havia indícios de que
as deleções teriam ocorrido após as 20:36:44 (UT C -0300). Assim, há
evidências de que os celulares apreendidos foram mantidos ligados e
conectados à rede de dados após a apreensão.

4. Quais são os modos possíveis de extração de conteúdo dos

celulares Apple iPhone 7 (A1784), Apple iPhone 6S (A1688) e Apple
iPhone 7 Plus (A1661) via Cellebrite UFED?

Para os m odelos Apple iPhone 7 (Al 784), Apple iPhone 6S (J\1688) e

Apple iPho ne 7 Plus (A1661), é possível realizar exportações via

• Cellebrite UFED em modo lógica ou de sistema de arquivos.

5. É possível realizar a extração física dos celulares Apple iPhone 7

(A1784), Apple iPhone 6S (A1688) e Apple iPhone 7 Plus (A1661)
via Cellebrite UFED?

Não. O Cellebrite UFE D só pennite a extração física até o modelo Apple

iPhone 4.

6. Qual é o procedimento necessário para utilizar a aplicação

"WhatsApp Web /Desktop"?

• Para possibilitar o início de uma seção na plataforma "WhatsApp Web"

é necessário realizar a leitura de um "QR Code" utilizando o dispositivo
móvel (interface principal do WhatsApp) conect'ldo à rede de dados.
Após este procedimento, o dispositivo deve obrigato riamente continuar
conectado para que a aplicação web continue funcionando.

No caso em que a seção remo ta já tenha sido iniciada anteriormente, se

a opção "Mantenha me conectado" tiver sido ativada, todas as vezes em
que o dispositivo for conectado à rede de dados, a seção voltará a
funcionar, sem necessidade de leitura do "QR Code" novamente. Caso
l:S:STITL""I'() B R \ Sll.l ·.lll() Ili-. l'F.RITOS 11~1CO,\l(\RCI() 1-:1.1-~mú:-. 1co I'. T l'.I.DI iTIC I I.Tll,\, -
. \1.. C \ \ 11'1:S..\S. -1(,J. U ·· .\ :S,l),\ ll. S.io I' \L'I.O. SI'. Cl·:I' O1-10-1- IIX)
Tii l ..: ( 11 ) ."19."IK-.WIXl 11'\l'\l .l'l'.lll'I'< l.CI l~I.IIH
17
IBI' BR,\ SII •

ct
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPl 8064

contrário, ou seja, se essa opção não tiver sido habilitada, o "QR Code"
deverá ser lido a cada início de seção do "WhatsApp Web".

7. Existe outro método de acesso remoto ao "Whatsapp" do usuário

que não seja por meio da aplicação "WhatsApp Web/Desktop"?

Não. Segundo o fabricante do WhatsApp, não existe outra interface que

penruta o acesso remoto ao aplicativo que não seja via ''WhatsApp
Web/Desktop".

8. Há registros no aplicativo "WhatsApp" que identifiquem se

• existem conexões estabelecidas por meio da aplicação "WhatsApp

Web /Desktop"?

Sim. É possível verificar se existem outras seções ativas e detalhes sobre

elas acessando, do celular principal, o menu "Opções > WhatsApp
Web".

9. Quais as formas existentes para deleção de mensagens no

aplicativo ''WhatsApp"?

O aplicativo WhatsApp permite, desde 31 / 10/ 2017, a deleção individual

•
de mensagens, com a opção de "apagar somente para mim" ou "apagar
para todos", a deleção de conversas inteiras ou a deleção de grupos.

Q uando é realizada a deleção de m ensagens individuais com a opção

"apagar somente para mim", de conversas inteiras ou de grupos, as
mensagens apagadas naquele dispositivo continuam disponíveis para
visualização nos dispositivos dos outros usuários envolvidos. Já no caso
da deleçào individual com a opção "apagar para todos", a m ensagem
original é substituída em todos os dispositivos envolvidos pelo alerta
"Esta mensagem foi apagada".

1:--.s-1rt no llR.\SII .ElltO 1)1( 1'1mrros E.\ I r.0~11°, RCl(l "I.ETR<°l:--.1C;o E T El.1·.~I.ÍTIC.1 J. m.,. - llll' BRASI i.
.\1.. C.1.\11'1:--. IS. -lú.>. 13" :\ :S:D.111. S.\o l'.1L·1.o. S I'. Cl•:I' li l-lll-1-11 MI
Ti, I..: ( 11) .W.,t!-391MI ll'\\"\\'.l'l'.lll l ().<:(nl.lm
18
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPI8064

10. Há possibilidade de iniciar uma seção do "WhatsApp

Web/Desktop" que esteja atrelada a um celular apreendido? Em
caso positivo, como isto ocorreria?

Isto só poderia ocorrer caso o celular estivesse ligado e conectado a uma

rede de dados após a apreensão, que não estivesse em "modo avião" e,
ainda, que houvesse uma seção do "WhatsApp Web" ativa em algum
computador.

Caso essa seja a primeira vez em que o dispositivo remoto esteja tentando
se conectar ao WhatsApp ou, ainda, caso a opção "Mantenha-me

• conectado" não tenha sido marcada nas últimas seções, o celular

apreendido também deverá obrigatoriamente autorizar a conexão, o que
implica em estar ligado e conectado a uma rede de dados no m omento
do início da sessão, e ainda em realizar a leitura de um QR Code que
aparece na tela do dispositivo remoto.

Portanto, se faz necessário que ambos os equipamentos, celular principal

e dispositivo remoto, estejam fisicamente próximos um do outro, ligados
e conectados à rede de dados para que se permita a conexão, ao menos
na primeira sessão e sempre que a opção "Mantenha-me conectado" não

• esteja habilitada.

11. Há registros da autoria ou origem das deleções de mensagens do

"WhatsApp" apresentadas na "Análise Parcial - Laudos N º
757 /2017, 758/2017 E 759/2017" (fls. 494 em diante)?

Não. O perito informa que há indícios de deleçào, porém não apresenta

qualquer evidência sobre a autoria ou origem da deleção das mensagens
e nem se elas ocorreram local o u remotamente.

1:--::;-n TL"l'O l\ll.l SII.Emo l)J•. l'EIIITOS l'..11 Co11i',1u:10 l-:I.E"J1tÓ:--:1c:n E Ti,I.E~I i·n r:1 J: rn.1. - llll' lllC\SIJ •
. \ J.. C: \ ,111'1:--: IS, 4(,3. 13" ,\ :--:D.I R, S.io I' 11.:1.(), SI', CJ-:1' 11140-1-- l(MJ
'!'EJ..: ( 11) ."\938-.WCKI 11'\l'\l'. l'l'.IIJ'J'O .CO.\ l.lllt
19
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPl8064

12. Há registros da autoria ou origem das deleções de mensagens do

"WhatsApp" apresentadas nos Laudos N º 161/2018, 162/2018 e
163/2018?

Não. Nesses laudos não há menção à autoria ou origem das deleções das
mensagens e nem se elas ocorreram local ou remotamente. Porém, o
perito afirma categoricamente que "Não é possível determinar quando
as deleções ocorreram. (...)".

13. A prova apreendida (no caso, os dispositivos de comunicação

móvel) pode vir a ser contaminada ao longo do processo de

• extração de seu conteúdo, caso não seja utilizado o modo fisico de

extração?

.Apesar de ser realizada por me10 de ferramenta forense amplamente

reconhecida pelos especialistas da área, os métodos de extração lógica e
de sistema de arquivos podem levar à contaminação da prova caso não
haja o detalhamento dos procedimentos realizados e da cadeia de
custódia, uma vez que é necessário manipular o celular para, no núnimo,
ultrapassar a barreira de senha, autorizar que ele "confie no
computador" 12 e alterar suas configurações para evitar o apagamento

• desnecessário da tela (o que pode afetar o sucesso da extração) .

.Ainda que formalmente essas modificações possam ser consideradas

contaminações po r definição, são normahnente tratadas como
necessidades inerentes ao procedimento de extração propriamen te dito .
Porém, uma vez que o celular está sendo de fato manipulado, outros
procedimentos podem ser efetuados pelo operador do dispositivo,
inadvertidamente ou propositalmente, sendo que, nesse caso,

12
Nomenclatura utilizada por dispositivos móveis da Apple quando são conectados a um computador. ,l
1:-.STl'l'l.Tl) BR.ISII.EIRO 1)1: l'ERITOS E.li CO.lll'.RC:IO l•:1.1:·m(J:-,. 1co E T EI.EII i 'f IC:.\ l .'11>.I. - 1BI' 13R,\ SI1. ~
.\ 1.. C 1~11•1~ .IS. 46.1. U· .\ ~ l).IR, S.io l'.ICI.O, SI', Cl •:P 1114114- HMI
'l'EI..: ( 11) .\9.18-.\')l~J 1n1'\l'.l'f\R ITO.C:O.I I.IIII
20
 INSTITUTO BRASILE IRO DE PERITOS
PARECER TÉCNICO IBP l8064

recomenda-se que todo o procedimento seia feito com cautela e

registrado passo a passo, de forma que se saiba exatamente o que foi
manuseado pelo operador e de forma que se minimize a contaminação
do dispositivo.

14. Considerando a informação do laudo de que houve deleção de

mensagens, há no laudo evidências que apontem para deleção de
forma remota? Justifique.

Não. A única forma utilização do "WhatsApp" por meio remo to requer

login na aplicação "WhatsApp Web/ D esktop" . Caso esta aplicação

• tivesse sido utilizada, haveria evidências de seu uso no menu "Opções >
WhatsApp Web" do aplicativo "WhatsApp" instalado no aparelho
celular apreendido. Não foram registradas no laudo nem encontra-se em
nenhuma passagem de todo material utilizado qualquer evidência de que
essa ferramenta tenha sido utilizada.

15. Considerando a informação do laudo de que houve deleção de

mensagens, qual a forma empregada? Justifique.

Considerando que não foram apresentadas evidências de que o

•
"WhatsApp Web" estaria configurado e em uso, seja no aparelho
analisado, seja em outros dispositivos apreendidos em poder do
Consulente, que seria a única hipótese de apagamento pela via remota, a
única fo rma possível de delação, caso tenha ocorrido, é a deleçào física,
mediante procedimentos locais, isto é, após a apreensão do aparelho
celular.

h SllTt:'10 Bit ISl l.l' IRO DE l'EIIITOS E~I Ül.llJ°:.l!CIO l •:J.E' lllll:--:1<:0 E T iil.E~I ÍTIC:.I I,'11),\. - IIli' llR. \ SI! .
.\ 1.. C.1.111•1:-.., s. 463. 13· A:-.D.\R, S \o l'.11.:1.0. S i'. Cl ·: I' 1114114-IIKI
Ti·.I .. : ( 11) 393K-31J()( I \l'\l'\X'.l'EIIITO.C:0~1.IIR
21
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBP l8064

8 CONCLUSÕES

Com base nas análises das mensagens eletrônicas coletadas, conclui-se que:

• A "Análise Parcial -Laudos Nº 757/2017, 758/2017 E 759/2017",

que consta nas fls 494 a 506 do Volume 2 da Pet. 7220 não apresenta
provas contundentes de que as mensagens tenham sido apagadas
remotamente;

• Os "Laudos 161 /2018, 162/ 2018 E 163/2018" afirmam que não é

• •
possível determinar quando e como as deleções de mensagens
ocorreram;

Uma vez que não é possível determinar o horário em que as deleções

ocorreram, no caso do laudo 163/2018, caso as deleções tenham
ocorrido entre o horário de recebimento da última mensagem e o
horário da busca e apreensão, o dispositivo estava em posse da
proprietária, que não tinha ciência que seu aparelho celular seria
apreendido e que, portanto, poderia fazer pleno uso do aparelho.

• Como relatado na "Análise Parcial - Laudos Nº 757 /2017, 758/ 201 7

• E 759/2017", a apreensão dos celulares ocorreu no dia 14/ 09/ 2017

pela manhã e a deleção das mensagens no mesmo dia, porém no
período da noite, indicando que no momento da apreensão o celular
não foi colocado em modo avião a fim de impedir conexão com a
rede e preservar evidências;

• Uma vez que o relatório gerado pelo UFED Physical Analyzer não
mostra o mo mento de deleção das mensagens e nem se elas
ocorreram local ou remo tamente, sugere-se do ponto de vista técnico

1:--.STITL"IO BltlSll.l:IIIO D E l'ElllTOS ' " ' Ü l lli'muo 1, 1.1, m(,:--:1c o lê T EI.E.11.iT IC \ l : IU.I . -
, \i . C.1111•1,., s. ~(,.\ U-· :\:S:I) lll, S i o l'.I L-U ' · :--1', CJ •:J> (11-104- l(Ml
T EJ..: ( 11) 3 9;\H-.W lKl IXW \X".l'l'.lllTO.C:011. llR
22
JBJ> llRt\SII.
t
 INSTITUTO BRASILEIRO DE PERITOS
PAR ECER TÉCNICO IBPl 8064

que se verifique a possibilidade de solicitar administrativamente ou

judicialmente ao WhatsApp que informe:

1. Se as contas de WhatsApp utilizadas nos celulares apreendidos

já foram alguma vez utilizadas na plarnforma "WhatsApp
Web/Desktop";

u. Se existiam sessões remotas ativas durante ou após a busca e

apreensão de 14.09.2017;

ili. Caso positivo, se esta era a pnme1ra vez que o dispositivo

•
remoto era utilizado na sessão do " WhatsApp Web/Desktop"
para as contas em tela;

IV. Ainda caso positivo, que informe os detalhes sobre essa sessão
remota, tais como sistema operacional, tipo de sessão (Web o u
D esktop), endereços IP e portas lógicas de conexão com as
respectivas datas e horários, período de duração da sessão,
com indicação das datas e horários do começo e final da
sessão, eventuais dados de geolocalização e quaisquer outras
informações ou logs disponíveis sobre essas sessões .

1:-.s·1T1no 1\1\.ISII.Ell\(l DF. l'F.1\ITOS li~! CO~ll'.I\CIO l•:1.E'm ú :-.1c:o E T i·.ILII.ÍTIC.1 I ,'11),\ , - llll' BRJ\:,J1.
.\!_ C.1~!1'!:-..1~. 4(,.\ . 13" :\:-.D.I R, S iO l'.l l:1.0. SI'. Cl ·:1' 01411-1- llkl
Ti·.1 -: (11 ) .w ., 11-.w1x 1 1~,rn·.P1•.1t1H i.cm1.1m
23
 INSTITUTO BRASILEIRO DE PERITOS
PARECER TÉCNICO IBPl8064

ENCERRAMENTO
A consulente, ao receber, utilizar o u divulgar o presente
parecer ou as informa.ç ões nele contidas, automaticamente
concorda em assurmr exclusivamente para s1 as
responsabilidades pertinentes, comprometendo-se a isentar
e proteger o IBP, seus diretores, peritos e funcionários de

• qualquer reivindicação eventualmente resultante .

E ncerra-se o presente parecer técnico gue contém 24 folhas

impressas em seu anverso, sendo esta última datada e
assinada.

São Paulo, 12 de setembro de 2018.

•
efferson

1,s-1rrno llll \Sll.l, lll() l)L l'Eltl !OS 1·.\I Ü)\li°.ltr:IO l •:1.1, 11tt"1;-..1c;o E T EI.E.\I ÍTIC:.I J:m .,. - 1111' BR:\SII •
. \ 1.. C 1~11'1:-..,s..l(J.3. u · . \ :-.D lll. S io I' I L I.O. SI', CJ•:J> 11)40+ l(KI
T EI..: (11 ) .>'J3R-.\91H1 IIW\I .l'l·.ltr!O.<:O ~Llllt
24