Dlaczego telefony są kluczowe w sprawach sądowych i dochodzeniach fraudowych?

Telefon komórkowy będący źródłem pozyskiwania materiału dowodowego.

Współczesne telefony komórkowe to nie tylko narzędzia komunikacji, ale także portfele, aparaty fotograficzne, kalendarze, mapy, trenerzy, sklepy itp., innymi słowy magazyny ogromnej ilości danych. Według dostępnych danych, w drugim kwartale 2025 roku aż 63%[1] globalnego ruchu internetowego pochodziło z urządzeń mobilnych, takich jak smartfony i tablety, podczas gdy w Polsce wskaźnik ten był jeszcze wyższy i wyniósł aż 75%[2].

Taki wynik podkreśla rosnące znaczenie urządzeń mobilnych w codziennym użytkowaniu Internetu oraz gromadzeniu większych ilości danych. To sprawia, że w sprawach sądowych, dochodzeniach dotyczących nadużyć oraz postępowaniach wewnętrznych, analiza danych z telefonów może być przełomowa dla pozyskania kluczowych dowodów.

Rodzaje dowodów cyfrowych w urządzeniach mobilnych

W służbowych telefonach można znaleźć całe spektrum danych elektronicznych, nie tylko o charakterze stricte służbowym. Oprócz danych powszechnie występujących na dyskach twardych służbowych komputerów np. korespondencja email, czy dokumenty, na telefonach często pojawiają się również inne dane i informacje, niejednokrotnie o prywatnym lub półprywatnym charakterze, w szczególności:

  • korespondencja email z kont innych niż służbowe;
  • korespondencja z komunikatorów internetowych innych niż służbowe;
  • dane geolokalizacyjne;
  • dane z aplikacji płatniczych (GPay/ Apple Pay);
  • pliki multimedialne (zdjęcia, filmy) zarejestrowane urządzeniem.

W zależności od typu danych, specyficznej sytuacji formalno-prawnej w konkretnej firmie oraz kwestii technicznych, w tym dotyczących konkretnego modelu urządzenia, jego systemu operacyjnego oraz poszczególnych aplikacji, wykorzystywanie danych z urządzenia mobilnego może być prawnie dopuszczalne, częściowo dopuszczalne lub niedopuszczalne. Zakres dopuszczalnego wykorzystania takich danych każdorazowo wymaga szczegółowej analizy prawnej. Informacje zaprezentowane w tym artykule dotyczą wyłącznie aspektów technicznych ekstrakcji danych z urządzeń mobilnych.

Polecamy również: Na czym polega informatyka śledcza i kiedy się ją stosuje?

Sposoby pozyskiwania danych z telefonu

Do niedawna na rynku komercyjnym dla urządzeń mobilnych dostępna była głównie tzw. logiczna ekstrakcja danych, polegająca na skopiowaniu wybranych plików pochodzących z poszczególnych aplikacji zawierających potencjalnie interesujące dane, takie jak wiadomości tekstowe (SMS), historia połączeń i pliki multimedialne.  Metoda ta miała jednak istotne ograniczenia – umożliwiała dostęp jedynie do danych dostępnych poprzez interfejs systemu operacyjnego, pomijając informacje ukryte, usunięte lub chronione przez mechanizmy zabezpieczeń urządzenia lub aplikacji. W praktyce, nawet najbardziej zaawansowane narzędzia do ekstrakcji danych dostępne na rynku komercyjnym bardzo różnie radziły sobie z poszczególnymi aplikacjami mobilnymi, zwłaszcza tymi zawierającymi korespondencję elektroniczną (poczta email, komunikatory internetowe, itp.). W efekcie, dane pozyskane z urządzenia były mniej lub bardziej niekompletne w zależności od wielu czynników technicznych.

Bardziej zaawansowana fizyczna ekstrakcja danych polega na skopiowaniu danych z całej pamięci urządzenia, podobnie do kopii binarnych dysków twardych, co pozwala na dostęp do danych ze wszystkich aplikacji, również danych usuniętych. Taka ekstrakcja danych była jednak możliwa wyłącznie dla starszych urządzeń, dostępnych na rynku od wielu lat, w których można było obejść szyfrowanie danych za pomocą narzędzi do ekstrakcji danych. W praktyce, przy wymianie telefonów na stanowiskach kierowniczych na flagowe modele co kilka lat, ówczesna technologia ekstrakcji danych nie miała szansy nadążyć za rozwojem szyfrowania nowych urządzeń. Dodatkowo, nawet do wykonania logicznej ekstrakcji danych absolutnie konieczne było odblokowanie urządzenia, do czego niezbędne było hasło/ PIN użytkownika.

Istotnym warunkiem sukcesu przy pozyskiwaniu danych z urządzeń mobilnych jest również sposób przejęcia urządzenia od pracownika. W odróżnieniu do twardych dysków w komputerach – wyczyszczenie danych z urządzenia mobilnego (np. poprzez przywrócenie go do ustawień fabrycznych) jest w większości przypadków nieodwracalne i praktycznie uniemożliwia dostęp do usuniętych danych, a z perspektywy użytkownika nie jest ono skomplikowane – wymaga jedynie kilku kliknięć.

W efekcie powyższych ograniczeń, przy próbie zabezpieczenia danych z urządzenia mobilnego pracownika często dochodziło do sytuacji, że odmowa ujawnienia hasła/ PINu przez użytkownika telefonu lub przywrócenie urządzenia do ustawień fabrycznych po spłoszeniu pracownika praktycznie uniemożliwiała ekstrakcję jakichkolwiek danych z urządzenia mobilnego i ich dalszą analizę. Co więcej, nawet po uzyskaniu PINu nie było gwarancji, że z urządzenia pozyskane zostaną wszystkie istotne dane.

Rozwój technologii ekstrakcji danych ze smartfonów

W ostatnich latach nastąpiło jednak przyspieszenie rozwoju technologii ekstrakcji danych z urządzeń mobilnych. Różnice widać zwłaszcza w odniesieniu do najnowszych urządzeń funkcjonujących na rynku. Najnowsze rozwiązania w tym zakresie, jak np. pakiet insEYEts firmy Cellebrite, VeraKey (GrayKey) firmy Magnet czy XRY Pro firmy MSAB radzą sobie z wcześniejszymi problemami dwojako:

  • po pierwsze, pozwalają uzyskać dostęp do danych na urządzeniu nawet bez znajomości hasła/ PINu (tzw. funkcja unlocking);
  • po drugie, zaawansowana ekstrakcja danych pozwala odzyskać dane z prawie wszystkich aplikacji mobilnych, a dodatkowo pozwala częściowo odzyskać dane usunięte z urządzenia.

Co więcej, w porównaniu do wcześniejszych rozwiązań nowa technologia pozwala pozyskać nieporównywalnie większą ilość danych nawet z najnowszych urządzeń mobilnych.

Nowa technologia jest na tyle inwazyjna, że może stanowić niebezpieczne narzędzie w nieuprawnionych rękach, powodując zagrożenie bezpieczeństwa danych użytkownika. Dlatego producenci takiego oprogramowania często starannie wybierają partnerów, którym sprzedawane są takie narzędzia, a także narzucają pewne ograniczenia formalne dla ich zastosowania. W szczególności, funkcja odblokowywania telefonów (unlocking), choć możliwa technicznie, nie jest oferowana na polskim rynku komercyjnym – dostęp do takich narzędzi posiadają tylko organy ścigania oraz biegli sądowi.

Dobrą ilustracją takiej sytuacji było [rzekome] odebranie przez izraelską firmę NSO Group licencji na używania oprogramowania Pegasus polskim organom ścigania w 2021 r. ze względu na wykorzystywanie go niezgodnie z wytycznymi producenta.[3]

Postęp technologiczny otwiera drzwi do starych urządzeń … i starych spraw

Dzięki postępowi technicznemu w informatyce śledczej w zakresie ekstrakcji danych oraz ze względu na fakt, że niektóre postępowania trwają długie lata, okazuje się, że mogą pojawić się nowe możliwości dowodowe w odniesieniu do starych spraw. Wcześniej, w momencie pierwotnego pozyskiwania danych mogło nie być odpowiedniej technologii dla uzyskania dostępu do konkretnego urządzenia (np. ze względu na nieznajomość PINu) lub nie było technicznych możliwości pozyskania kompletu informacji z urządzenia ze względu na jego ówczesne zaawansowanie techniczne w zakresie bezpieczeństwa. Dzisiaj, te same urządzenia okazują się nie być już tak zaawansowane technologicznie w związku z czym ekstrakcja danych nie stanowi już problemu. Oczywiście warunkiem niezbędnym dla próby ponownego pozyskania z nich danych jest fizyczny dostęp do starego urządzenia, którego integralność od momentu pierwotnego zabezpieczenia nie została naruszona.

[1] https://www.statista.com/statistics/277125/share-of-website-traffic-coming-from-mobile-devices/

[2] https://www.statista.com/statistics/1051101/poland-most-used-internet-devices/

[3] https://www.newsweek.pl/swiat/polityka/polskie-sluzby-traca-dostep-do-pegasusa-rzad-staral-sie-o-pomoc-usa-ale-jej-nie/fxzyfnh