Vendendo seu iPhone? Veja o que a Restauração de Fábrica Deixa para Trás

TL;DR

A restauração de fábrica em um iPhone marca os blocos de armazenamento como disponíveis, mas não os sobrescreve. Fotos, mensagens e arquivos deletados permanecem recuperáveis da memória NAND flash até que o controlador recupere esses blocos — um processo que ferramentas forenses podem acionar. O iCloud Fotos mantém uma cópia completa nos servidores da Apple mesmo depois de você apagar o dispositivo. O File Shredder do AppVault sobrescreve os arquivos do cofre com múltiplas passagens de escrita antes da exclusão, e a lista de verificação pré-venda abaixo cobre cada etapa antes de você entregar o telefone a um comprador, um programa de troca ou um familiar.

O Que a Restauração de Fábrica Realmente Faz

Toque em “Apagar Conteúdo e Ajustes” e o iOS faz duas coisas: destrói as chaves de criptografia do sistema de arquivos e marca cada bloco de armazenamento como disponível para reuso. Os dados em si — o texto cifrado na memória NAND flash — permanecem no lugar até que o controlador de armazenamento escreva novos dados sobre eles.

No iOS 15 e posteriores, a Apple redesenhou a hierarquia de chaves para que destruir a chave do sistema de arquivos torne o texto cifrado praticamente irrecuperável sem essa chave. Esta é uma melhoria significativa. Mas “praticamente irrecuperável” não é “fisicamente inexistente”. Os blocos ainda contêm os dados antigos. Uma ferramenta forense com acesso bruto à NAND — do tipo usado por autoridades policiais e laboratórios de recuperação de dados — pode ler esses blocos diretamente, ignorando completamente o sistema de arquivos.

No iOS 14 e anteriores, a situação é pior. A hierarquia de chaves de criptografia era menos granular, e descartar a chave do sistema de arquivos deixava mais dos dados subjacentes acessíveis. Dispositivos que vieram com ou executaram o iOS 14 em algum momento de seu ciclo de vida podem ter dados residuais em blocos que nunca foram re-criptografados sob o esquema mais novo.

A conclusão: a restauração de fábrica é uma limpeza lógica, não uma limpeza física. Ela informa ao sistema operacional que os blocos estão vazios. Ela não escreve zeros ou dados aleatórios sobre o conteúdo antigo.

O Que Sobrevive no Álbum “Apagados Recentemente”

O aplicativo Fotos não deleta imagens quando você toca no ícone da lixeira. Ele as move para o álbum “Apagados Recentemente”, onde ficam por 30 dias. Durante essa janela, os arquivos estão totalmente intactos — mesma resolução, mesmos metadados, mesmas tags de localização. O usuário pode recuperá-los com um toque.

A restauração de fábrica não limpa este álbum. O cronômetro de 30 dias está vinculado aos metadados do sistema de arquivos, e quando a restauração destrói as chaves, o conteúdo do álbum se torna inacessível para o aplicativo Fotos — mas os dados subjacentes permanecem nos blocos NAND. Se o dispositivo executou o iOS 14 ou anterior, esses dados são recuperáveis com ferramentas forenses.

Antes de vender ou trocar um iPhone, esvazie o álbum “Apagados Recentemente” manualmente. Abra Fotos, vá em Álbuns, toque em “Apagados Recentemente”, selecione tudo e delete. Em seguida, prossiga com o restante da lista de verificação abaixo.

O iCloud Fotos Vive nos Servidores da Apple

Apagar um iPhone remove a cópia local de cada foto. Isso não faz nada com a biblioteca do iCloud Fotos. Essa biblioteca vive nos servidores da Apple, vinculada à Apple ID, e sincronizará com qualquer novo dispositivo conectado à mesma conta.

Isso cria dois problemas para alguém vendendo um iPhone.

Primeiro, se o vendedor esquecer de sair do iCloud antes de apagar, o Bloqueio de Ativação permanece ativo. O novo proprietário não consegue configurar o telefone. O vendedor tem que ir a appleid.apple.com, entrar e remover manualmente o dispositivo da conta. Isso é uma dor de cabeça de suporte, não um vazamento de dados — mas atrasa a venda.

Segundo, se o vendedor quiser que a biblioteca do iCloud Fotos desapareça, isso é uma ação separada. Sair do iCloud interrompe a sincronização. Deletar a biblioteca exige visitar o iCloud.com ou outro dispositivo conectado à mesma Apple ID e remover as fotos lá. A etapa de apagar tudo no iPhone não faz nenhuma dessas coisas.

Memória NAND Flash e Recuperação Forense

Todo iPhone armazena dados em chips de memória NAND flash. A memória NAND flash funciona em páginas (tipicamente 4 KB) e blocos (tipicamente 256 páginas). As gravações acontecem no nível da página. As exclusões acontecem no nível do bloco. Quando o iOS deleta um arquivo, ele marca as páginas como inválidas, mas não apaga o bloco. O bloco permanece sujo — cheio de dados antigos — até que o processo de coleta de lixo do controlador da memória o recupere.

Ferramentas forenses exploram isso. A forense de chip-off envolve dessoldar o chip NAND e lê-lo diretamente com um programador. Isso ignora completamente o sistema de arquivos do iOS. A ferramenta lê cada bloco, válido ou não, e reconstrói arquivos a partir dos dados brutos. Esta técnica funciona em qualquer iPhone, independentemente da versão do iOS, desde que os blocos não tenham sido sobrescritos.

Ferramentas de extração lógica como Cellebrite UFED e GrayKey operam em um nível mais alto — elas se comunicam com o sistema de arquivos do iOS através da interface de depuração do dispositivo. No iOS 14 e anteriores, essas ferramentas podem recuperar fotos, mensagens e dados de aplicativos deletados de blocos não utilizados. No iOS 15 e posteriores, a hierarquia de chaves redesenhada torna isso mais difícil, mas não impossível se o dispositivo estiver desbloqueado ou a ferramenta puder explorar uma vulnerabilidade.

A única defesa contra extração de chip-off e lógica é a sobrescrita física. Escreva novos dados sobre os blocos antigos para que o conteúdo original desapareça no nível do hardware.

O Que o File Shredder do AppVault Faz

O File Shredder do AppVault sobrescreve os arquivos do cofre com múltiplas passagens de escrita antes de deletá-los. O processo atinge o texto cifrado criptografado armazenado no sandbox do aplicativo — os arquivos criptografados com AES-256-GCM que o AppVault armazena em nome do usuário.

Aqui está a sequência. O usuário seleciona os arquivos para destruição. O AppVault abre cada arquivo e escreve dados aleatórios em todo o seu comprimento, repetindo a escrita em múltiplas passagens. Em seguida, ele deleta o arquivo através da chamada padrão do sistema de arquivos do iOS. O resultado: os blocos NAND que continham o texto cifrado original agora contêm dados aleatórios. Mesmo que uma ferramenta forense leia esses blocos, ela encontra as passagens de sobrescrita, não o conteúdo criptografado original.

Isso não protege arquivos fora do sandbox do aplicativo. Fotos no Rolo da Câmera, mensagens no aplicativo Mensagens, dados em outros aplicativos — esses estão fora do controle do AppVault. O File Shredder é projetado para os próprios arquivos do cofre: as fotos e documentos que o usuário importou para o AppVault para armazenamento criptografado.

Para uma sobrescrita completa do dispositivo, o usuário ainda precisa realizar a restauração de fábrica. O File Shredder fecha a lacuna para os arquivos específicos que mais importam — aqueles que o usuário moveu para o cofre precisamente porque não queria que fossem recuperáveis.

A Lista de Verificação Pré-Venda

Siga esta lista de verificação em ordem antes de entregar o iPhone a um comprador, um programa de troca ou um familiar.

1. Esvazie o álbum “Apagados Recentemente”. Abra Fotos, vá em Álbuns, toque em “Apagados Recentemente”, selecione tudo, delete. Isso remove a janela de 30 dias de recuperação para fotos no Rolo da Câmera.

2. Saia do iCloud. Ajustes → [seu nome] → Sair. Digite a senha da Apple ID, escolha manter ou remover dados locais (não importa — você está prestes a apagar tudo). Isso desativa o Bloqueio de Ativação.

3. Saia do iMessage. Ajustes → Mensagens → Enviar e Receber → toque na Apple ID → Sair. Isso impede que o novo proprietário receba mensagens endereçadas ao seu número de telefone.

4. Remova o dispositivo da sua Apple ID. Visite appleid.apple.com, faça login, vá em Dispositivos, selecione o iPhone e remova-o. Este é um passo de backup caso a saída no dispositivo não tenha sido concluída.

5. Execute o File Shredder do AppVault. Abra o AppVault, selecione todos os arquivos do cofre, execute o File Shredder. Isso sobrescreve os dados criptografados do cofre com bytes aleatórios antes da exclusão. Se você usa o Cofre Isca, destrua também os arquivos isca — o cofre isca é matematicamente independente e seus arquivos ocupam blocos separados.

6. Apague todo o conteúdo e ajustes. Ajustes → Geral → Transferir ou Redefinir iPhone → Apagar Conteúdo e Ajustes. Digite a senha, confirme a limpeza. O iOS destruirá as chaves do sistema de arquivos e reiniciará para a tela de configuração.

7. Verifique a tela de configuração. Após a limpeza, o iPhone deve exibir a tela de configuração “Olá” em várias opções de idioma. Se pedir uma Apple ID e senha, o Bloqueio de Ativação ainda está ativo — volte ao passo 2.

8. Remova o chip SIM. Se o iPhone usar um SIM físico, ejete-o. Se usar eSIM, o processo de limpeza deve remover o perfil eSIM, mas verifique em Ajustes → Celular se nenhum plano permanece.

Contra o Que Isso Não Protege

O File Shredder do AppVault sobrescreve arquivos dentro do sandbox do aplicativo. Ele não sobrescreve o Rolo da Câmera, o banco de dados do Mensagens, o cache do Mail ou dados de outros aplicativos. Para esses, a restauração de fábrica é a única ferramenta — e, como explicado acima, a restauração de fábrica é uma limpeza lógica, não física.

Se o iPhone executou o iOS 14 ou anterior, dados residuais do Rolo da Câmera e do Mensagens podem sobreviver nos blocos NAND mesmo após a limpeza. O risco é maior em dispositivos que nunca foram atualizados para o iOS 15, ou que passaram um tempo significativo no iOS 14 antes de atualizar.

Os dados do iCloud são um modelo de ameaça separado. Se as fotos do vendedor sincronizaram com o iCloud, essas fotos existem nos servidores da Apple, independentemente do que acontecer com o dispositivo. O vendedor deve deletar a biblioteca do iCloud Fotos separadamente, ou as fotos persistirão na nuvem e sincronizarão com o próximo dispositivo conectado à mesma Apple ID.

O AppVault não faz chamadas de rede por padrão. Ele não tem sincronização em nuvem, nem conta, nem telemetria. A arquitetura de conhecimento zero significa que o AppVault não pode ver os arquivos do usuário e não pode vazá-los. Mas isso também significa que o AppVault não pode deletar arquivos do iCloud ou de outros aplicativos no dispositivo. O escopo é o próprio sandbox do cofre.

Como Isso Difere do Guia Prático

O guia complementar em /guides/wipe-photos-before-selling-iphone/ percorre os mesmos passos como um tutorial linear — abra este menu, toque naquele botão, confirme a exclusão. Ele é escrito para usuários que querem instruções que possam seguir no telefone.

Esta página é escrita para usuários que querem entender o problema antes de agir. Por que a restauração de fábrica é insuficiente. O que a memória NAND flash faz com dados deletados. O que o iCloud mantém em seus servidores. A lista de verificação acima é a mesma sequência, mas o contexto aqui é o modelo de ameaça, não o caminho de toques.

Se você está pronto para agir, a lista de verificação está completa. Se você quer entender por que cada etapa importa, as seções acima explicam o mecanismo.

Por Que o AppVault para Este Caso de Uso

O AppVault armazena arquivos com criptografia AES-256-GCM — nonce único de 96 bits por arquivo, derivação de chave PBKDF2-SHA256 com 600.000 iterações, vinculada ao hardware através do Secure Enclave do iPhone. O próprio catálogo do cofre é criptografado, então um invasor com acesso bruto à NAND não pode nem determinar quantos arquivos existem.

O Lançador de Calculadora dá ao aplicativo uma interface de calculadora iOS totalmente funcional com um atalho de pressionar longamente a tecla de igual para o cofre. O Cofre Isca fornece um segundo padrão 5×5 que abre um catálogo separado e matematicamente independente. Ambos os recursos são projetados para os cenários que esta página aborda: entregar um dispositivo a alguém que pode rolar pela biblioteca de aplicativos ou vender um telefone a um comprador que pode sondar seu conteúdo.

O File Shredder é o recurso que fecha a lacuna que a restauração de fábrica deixa para trás. Sobrescreva os arquivos do cofre e, em seguida, apague o dispositivo. O comprador recebe um iPhone limpo. O vendedor obtém a certeza de que o conteúdo do cofre desapareceu no nível do hardware.

Para uma comparação recurso a recurso com outros aplicativos de cofre, veja AppVault vs Keepsafe e AppVault vs Vaultaire.

Fontes

• NIST SP 800-88 Rev. 1: Diretrizes para Saneamento de Mídia
• Guia de Segurança da Plataforma Apple: Visão geral da proteção de dados
• Suporte Apple: O que fazer antes de vender, doar ou trocar seu iPhone
• NIST FIPS 197: Padrão de Criptografia Avançada