Selskaper som Cellebrite kjøper/finner svakheter og sårbarheter i ulike mobiltelefonmodeller, og - i stedet for å rapportere de til vendor - beholder de for seg selv, slik at de kan tilby en programvare som utnytter de. Politiet i (mer eller mindre) siviliserte land kan kjøpe tilgang til programvare og utstyr, som de så bruker til å høste inn data med.

Det er verdt å merke seg at kryptering ikke alltid er nok. Når du skrur på mobilen og taster inn koden, så låses filsystemet opp. Om det finnes en svakhet i telefonen, som lar en hente ut rådata fra minnet/filsystemet, så holder det at telefonen har vært låst opp nylig. Likeledes, om telefonen kan låses opp ved å taste inn en kode, og denne koden er bare 4-6 siffer, så er det ikke akkurat sikkert. Det har vært mange sårbarheter som lar en prøve koder fort, uten å måtte bry seg om ventetid.

Eksempelvis hadde eldre iOS en sårbarhet hvor man bare prøvde en kode eller to, og så skrudde av og på strømmen via en automatisert rigg. De får ikke prøvd mange kodene per sekund, men politiet har nok av tid å sette av til dette. Riggen er noe de kan sette på før en helg, og så står den der og prøver koder dag ut og dag inn. Gitt at de får testet én kode per 10 sekund (et helt tilfeldig tall), så tar det knapt 28 timer å teste alle kodene. For en 5-sifret så snakker vi nærmere 2 uker. 6-sifret tar en 3-4 måneder å teste alle.

Nå koster denne programvaren en god del, og de har ikke kapasitet til å knekke kodene for alle telefoner de får inn. Så med mindre man risikerer å sitte i varetekt inntil de har gjort et rimelig forsøk på å komme inn på telefonen, så er det nok lurest å bare holde kjeft. Flere modeller støtter også å gå i "lockdown"-modus med riktig tastekombinasjon. Dette gjør at fingeravtrykk ikke er nok til å låse opp telefonen, og notifikasjoner på skjermen er anonymiserte, slik at man ikke kan lese deler av meldinger som mobilen mottar.