Muito advogado criminalista trabalha com uma premissa básica quando o processo tem extração forense de iPhone: mensagem apagada pelo usuário está apagada. O que a atualização iOS 26.4.2, lançada pela Apple em 22 de abril de 2026, evidencia é que essa premissa, em versões anteriores do sistema operacional, não se sustentava tecnicamente. O patch corrige um único item de segurança, identificado publicamente como CVE-2026-28950, e o efeito prático é relevante para qualquer análise pericial envolvendo iPhone extraído antes dessa data, sobretudo quando o relatório inclui mensagens recuperadas do Signal ou de outros aplicativos que utilizam notificações push.
O que a falha do iOS permitiu
A descrição oficial da Apple é contida: notificações marcadas para exclusão continuavam armazenadas no dispositivo de forma inesperada. A leitura técnica é mais contundente. O iOS mantinha o texto descriptografado das notificações push em um log interno do sistema operacional, fora do perímetro de proteção do aplicativo que recebeu aquela notificação. No caso do Signal, cuja criptografia de ponta a ponta é referência no mercado, isso significa que o conteúdo das mensagens acabava preservado em um local onde a proteção do app não se aplicava. O usuário podia apagar a mensagem, apagar a conversa e até desinstalar o Signal, e aquele texto continuava acessível a quem tivesse o aparelho em mãos e ferramenta de extração forense.
Foi por esse caminho que o FBI recuperou mensagens deletadas do Signal em uma investigação federal nos Estados Unidos, a partir do iPhone de um investigado no caso da operação no centro de detenção Prairieland, da ICE, no Texas. Não houve quebra da criptografia do Signal. Houve coleta do artefato deixado pelo próprio sistema operacional. Para efeitos de perícia, isso não é o mesmo tipo de evidência que uma extração íntegra do banco de dados do aplicativo. Essa distinção é o ponto técnico central para avaliar o que, de fato, cada trecho de texto representa no contexto do processo.
Origem técnica pesa tanto quanto conteúdo
Quando se apresenta “mensagens recuperadas” a partir da extração de um iPhone anterior à correção, a pergunta pericial relevante não é apenas sobre o que aquelas mensagens dizem. É sobre de onde elas foram reconstruídas. Um trecho de texto extraído do banco de dados interno do Signal é um elemento probatório. Um trecho extraído do cache de notificações do iOS, afetado pela CVE-2026-28950, é outro, com características técnicas distintas. O primeiro tem integralidade: sabe-se quem enviou, em que horário, se foi entregue e se foi lido. O segundo é um fragmento de preview gerado pelo sistema operacional para exibir a notificação na tela. Não traz metadados de envio, entrega ou leitura. Pode estar truncado e pode estar fora do contexto de uma conversa mais ampla que a notificação resumia.
Essa distinção técnica nem sempre aparece com clareza nos relatórios de extração. O laudo descreve o dado recuperado, mas não necessariamente explicita que a fonte foi o cache do sistema operacional. Na ausência dessa informação, nenhuma das partes do processo consegue dimensionar com precisão o alcance probatório do elemento apresentado.
A CVE-2026-28950 como documento primário
A existência pública da CVE-2026-28950 eleva o patamar da discussão técnica. Trata-se de reconhecimento formal da fabricante do sistema operacional de que o iOS armazenava essas notificações de forma indevida. Em termos de prova técnica, isso é documento primário. Não é interpretação, não é literatura especializada e não é parecer. É a própria Apple descrevendo o comportamento do sistema que gerou o artefato forense extraído.
Em qualquer análise sobre a admissibilidade ou o peso probatório de uma mensagem supostamente recuperada de iPhone com versão anterior do iOS, a referência à CVE-2026-28950 situa a discussão no terreno correto. Não se discute se houve quebra de criptografia do Signal, porque não houve. Discute-se o que efetivamente foi extraído, a que compartimento técnico aquilo pertencia e qual o grau de integralidade do dado apresentado. Essa clareza interessa tanto a quem sustenta a acusação como a quem exerce a defesa, porque delimita o que o elemento pode e o que não pode provar.
O papel da imagem forense nesse tipo de caso
Essa leitura só é possível, muitas vezes, com acesso ao dado bruto da extração, ou seja, à imagem forense do aparelho, e não apenas ao relatório processado que costuma circular nos autos em formato UFDR. O relatório é uma camada interpretativa. Apresenta o dado já organizado, com a origem técnica muitas vezes implícita. A imagem forense, por outro lado, permite rastrear com maior precisão de qual compartimento do sistema cada fragmento foi retirado. Sem o dado bruto, qualquer parte do processo fica restrita ao que o relatório documenta. Com a imagem disponível, ganha-se capacidade técnica de demonstrar, no caso concreto, de onde veio cada trecho apresentado como mensagem, inclusive identificando quando se trata de preview de notificação afetado pela falha reconhecida oficialmente pela Apple.
O processo de extração também deixa rastros que auxiliam essa análise. Quando realizado sobre aparelho com iOS anterior a 26.4.2, o exame do banco de notificações do sistema, correlacionado ao estado do aplicativo no momento da apreensão, costuma evidenciar a origem do conteúdo recuperado. Se o Signal já estava desinstalado ou a conversa apagada quando o dispositivo foi apreendido, qualquer texto ainda presente na extração provavelmente veio do cache do sistema, não do aplicativo. Essa é uma informação que, idealmente, deve constar do próprio laudo. Na sua ausência, pode ser requisitada em quesitos complementares.
Considerações finais
A correção trazida pelo iOS 26.4.2 é um documento técnico relevante para qualquer atuação em processos com extração de iPhone. Ela delimita uma fronteira temporal objetiva: 22 de abril de 2026. Qualquer extração forense realizada em aparelho com versão anterior do iOS passa a conviver com a possibilidade técnica de que o conteúdo das notificações do Signal, e potencialmente de outros aplicativos que utilizam notificações push, esteja presente no sistema mesmo após apagamento ou desinstalação. Isso abre, de um lado, margem legítima de contestação pericial e, de outro, reforça a necessidade de que o próprio laudo documente com precisão a origem técnica de cada mensagem recuperada. Em ambos os cenários, a análise passa a exigir exame da origem e da integralidade, não apenas do conteúdo.
Dominar a prova digital não é opcional. É o diferencial que muda o resultado do processo. Faça parte do Tribunal Digital.