Custom-ROMs und Herstellerupdates

Sie stellen eben nicht die vollen Sicherheitsupdates bereit, da Sie das gar nicht können. Teile der Hardware sind nämlich schon EOL. Bei manchen Smartphones macht das fast die Hälfte der High- und Critical-Severity-Patches aus, und das sammelt sich bei Fairphones über Jahre an, da die teilweise schon mit relativ alten Teilen auf den Markt kommen. Wie sicher so ein System dann noch ist, kann man sich ja denken. Von den ganzen anderen Sicherheitsnachteilen will ich mal gar nicht anfangen. Das kann ich wirklich niemandem guten Gewissens empfehlen.

2 „Gefällt mir“

Woher kommt die Zahl „fast die Hälfte“? Hast du dazu konkrete Zahlen oder Beispiele?

Zweitens: Wie kommst du darauf, dass Fairphone die Hardware nicht mitpatched. Shift macht das zum Beispiel für ihr 6mq, was von Qualcom auch schon eol ist. Dafür brauchten sie sehr viel Überzeugungsarbeit bei Qualcom und Teile von propräritären (ja, die haben teilweise auch propräritär) Qualcomm Source Code. Nur deshalb konnten sie überhaupt auf Android 13 springen. Und wenn Shift das kann, kann das Fairphone schon lange. Mich würde verwundern, wenn Fairphone nicht auch Patches für die Hardware schreibt (weiß ich halt nicht, weil ich mich nicht so sehr im Fairphone-Kosmos auskenne).

1 „Gefällt mir“

Wie soll das gehen, wenn der Hardwareteilehersteller den Support eingestellt hat? Selbst große OEMs wie Samsung und Google haben das in der Vergangenheit nicht geschafft. Zudem ist es Industriestandard, Geräte EOL zu setzen, wenn das passiert und das Android-Patchlevel nicht unehrlicherweise zu erhöhen, obwohl ein signifikanter Anteil der Sicherheitslücken dauerhaft ungepatcht bleibt. Fairphone gaukelt Nutzern Sicherheit vor, wo keine ist. https://www.privacyguides.org/en/os/android-overview/#firmware-updates

https://x.com/GrapheneOS/status/1678120266713518080
https://x.com/GrapheneOS/status/1717387749131518240

Du kannst dich aber auch gerne durch Security Bulletins wühlen, wenn du GrapheneOS nicht glauben willst, die die Bulletins ständig im Blick haben.

Das bezweifle ich mal ganz stark. Selbst Samsung und Google sind daran gescheitert sind.

Mit Android 13 hat das mal gar nichts zu tun.

1 „Gefällt mir“

Also keine konkreten Zahlen oder Beispiele. Ich hab es mir abgewöhnt einfach nur zu glauben. Gerade in der heutigen Zeit sollte man Aussagen hinterfragen und überprüfen können. Glauben ist halt nicht wissen und ich würd schon gern wissen, ob sich das auf das Fairphone 3 oder 4 bezog. Das 5er kam erst im September 2023 und die beiden Posts stammen vom Juli und Oktober 2023. Oder bezog sich das vielleicht sogar auf andere Hersteller?

Ich frag mich eh schon die ganze Zeit, wieso dann GrapheneOS überhaupt noch die EOL-Pixel-Geräte supported. Passt ja irgendwie auch nicht zusammen. Aber gut, ist ja eigentlich auch ein anderes Thema.

2 „Gefällt mir“

Interessante Frage.

Wird hier sogar klar und deutlich beantwortet:

Which devices are supported?

We provide extended support releases as a stopgap for users to transition to the far more secure current generation devices.

3 „Gefällt mir“

Dann schau doch selbst in den Android Security Bulletins nach, wie bereits erwähnt. So hat beim letzten Bulletin im August Android allgemein 14 Sicherheitslücken gemeldet, bei Qualcomm (und das müsste ja alle Fairphones betreffen) waren es 20 + 7 Sicherheitslücken (offene und closed source Komponenten). Das dient nur als Stichprobe, mach gerne detailiertere Statistiken und teile deine Ergebnisse.
Außerdem ist mir aufgefallen, dass Fairphone keine eigenen Sicherheitsinformationen rausgibt. Bei der geringen Menge an eigener Software ist das auch verständlich. Dennoch ziemt es sich, als Hersteller offen mit bekannten Sicherheitslücken umzugehen. Fairphone sollte idealerweise darlegen, welche Geräte von welchen Sicherheitslücken betroffen sind und wann sie geschlossen wurden.

Die werden nur eingeschränkt unterstützt, sie sind klar als „extended support“ oder „legacy extended support“ gekennzeichnet und der Sicherheitspatch ist in den Einstellungen auf den letzten Patch von Google eingefroren.
Der Grund wieso GrapheneOS diese Updates ist auch einfach: Schadensminimierung. Auch wenn nicht empfehlenswert, bleiben eine Menge Menschen aus diversen Gründen auch nach dem EoL von Google bei ihrem alten Gerät mit GrapheneOS. Für diese Menschen ist es besser, manche Sicherheispatches gegenüber gar keine zu bekommen. Und GrapheneOS bietet die Updates an, solange sie recht wenig Arbeit erfordern.

6 „Gefällt mir“

Würde ich tun, wenn ich etwas in den Raum werf, hab ich aber nicht. Deswegen frag ich ja…

Hab ich gelesen, passt aber trotzdem nicht in das Konzept. Es erklärt auch nicht, warum fehlende Hardware-Updates für andere Custom-ROMs „Nicht-Okay“ ist und für GrapheneOS ist es als Übergang „Okay“. Entweder die Hardware-Updates sind so wichtig, dass es unverantwortlich wäre, solche Geräte weiter zu supporten oder eben nicht. Versteh nicht, wieso das Konzept „Security-First“ gerade hier gebrochen wird.

Kann man überhaupt noch von einer „Übergangsphase“ sprechen, wenn die Geräte schon seit zwei oder drei Jahren keine Hardware-Updates mehr bekommen?

1 „Gefällt mir“

Hast du es denn gelesen und verstanden?

Was ist jetzt besser? Gar keinen erweiterten Support mehr zu bieten oder erweiterteten Support?

Wie würde dein Konzept denn konkret für diesen Fall aussehen?

Ersetze „Okay“ mit „Sicher“ und du hast es verstanden. Wenn andere Android-Systeme keine Firmwareupdates liefern, ist das „Nicht Sicher“. Wenn GrapheneOS ein Gerät regulär unterstützt ist das „Sicher“. Wenn GrapheneOS „extended support“ für alte Geräte anbietet, bezeichnen die Entwickler selbst das als „Nicht Sicher“ (aber zur Schadensminimierung besser als nichts).

Alles unter der Prämisse eines gewissen Sicherheitsbegriff, der naheliegend sein sollte.

2 „Gefällt mir“

Um das noch mal auszuführen (also ja, Shift hat den propräritäeren Source Code von Qualcomm teilweise umgeschrieben (machen sie immer so weit bis sie durch die Patches den Linux-Kernel hochkriegen und wieder die Zertifizierung kriegen; also nicht wirklich besonders gut, aber immerhin)): https://forum.shiftphones.com/threads/updates-das-leidige-thema.5008/page-2#post-47810 & https://forum.shiftphones.com/threads/update-des-shift-6mq-auf-android-13.5199/page-6#post-53544
Irgendwo gibt es auch einen Beitrag, wo sie erzählen, dass Qualcomm ihnen nach langem Nerven ein angefangenes Update für den Sock geschickt hat, dass sie auch fertig gebastelt haben.
Letztlich ist bei Shift alles außer dem Shiftphone 8 eol (Shift verkauft aber auch nur noch das Shiftphone 8 und das 5me; das 5me nur, weil es kein anderes modulares Gerät mit demselben Forfaktor gibt & gab). Dennoch bemühen sie sich sehr (bei 5me und 6m gibt es nur Backports und an der hardwareseitigen Software ändert sich gar nichts (MediaTek)). Fürs Shift 6mq arbeiten sie eng mit Qualcomm zusammen (wobei Qualcomm eben nur nach einigem Zögern Teile des Source-Codes rausgibt und Shift den Code modernisiert).

Wenn es besser als nichts ist, wenn GOS EoL Geräte unterstützt,
dann ist es auch besser als nichts wenn andere Custom Roms EoL Geräte unterstützen.

Ich find es gut, das Handys nicht sofort weggeschmissen werden, sonder möglichst weiter benutzt werden.

3 „Gefällt mir“

Ja, ich hab es gelesen, verstanden, ein Bild gemalt und einen kleinen Song dazu geschrieben… und es passt trotzdem nicht ins Konzept…

Natürlich wäre es besser gar keinen „erweiterten Support“ anzubieten. Wozu auch der quatsch? Entweder Hardware-Updates sind wichtig oder nicht. Entweder man hat den Anspruch das sicherste System anzubieten oder nicht. Ich bin eigentlich davon ausgegangen, dass man grad hier keine Kompromisse machen sollte…oder sieht das jemand anders?

Ganz einfach: Alle Geräte die keine Hardware-Updates bekommen, rauswerfen. Sorry, aber es passt halt überhaupt nicht ins Bild von GrapheneOS. Ich mein Pixel 4/XL sind jetzt im Oktober zwei Jahre EOL. Gibt es dort nicht genügend kritische oder schwerwiegende ungepatchte Schwachstellen? Oder kann mir jemand einen vernünftigen Grund geben, warum man solche Geräte weiterhin supporten sollte? Und nein, „zur Schadensminimierung besser als nichts“ ist kein vernünftiger Grund, wenn man einen bestimmten Anspruch hat. Die weiterverwendung von EOL-Geräten übernehmen ja andere Custom-ROM Projekte die explizit darauf ausgerichtet sind.

Du kannst ja deine Meinung haben, aber wieso muss man sich darüber so aufregen und es madig machen, wenn Andere grundsätzlich erstmal einen Mehrwert schaffen? Du musst es ja nicht nutzen, wenn es dir nicht gefällt.

Wie ich schon schrieb, passt es halt nicht ins GrapheneOS-Konzept die EOL-Geräte weiter zu unterstützen. Es gibt ja gute und nachvollziehbare Gründe, warum man auf die Pixel-Geräte setzt. All diese Vorteile werden aber durch den Support von EOL-Geräte verwässert. Einfach einen harten Cut machen und gut. Alles andere ist halt einfach ein Widerspruch in sich.

Da gibt es allerdings einen wichtigen Unterschied. Während GrapheneOS deutlich klar macht, dass das nur für den Übergang ist und als nicht sicher betrachtet werden sollte, tun andere Custom-OSe so, als sei das eine sichere Lösung, verheimlichen die fehlenden Vendor-Updates und ist bei ihnen Normalzustand.

Hat sich mit den 7 Jahren Sicherheitsupdates bei Google Pixel 8 und neuer vermutlich erledigt. Nach 7 Jahren wollen viele Nutzer sowieso mal was neues.

Habe auf Twitter gelesen, dass es noch ein Update von GrapheneOS gibt für die EOL-Geräte, dann war es das. Früher gab es immer nur eine kurze Übergangsphase bis zum nächsten Major-Android-Update. Dass das jetzt mal länger war, war eine Ausnahme. Ab der 6ten Generation wird es das vermutlich gar nicht mehr geben, da die Vendor-Update-Zeiträume mit 5 respektive 7 Jahren deutlich länger als früher sind.

1 „Gefällt mir“

Im Jahr 2023 gab es 296 allgemeine Sicherheitslücken und 179 die Qualcomm betrafen, davon 27 als kritisch eingestuft.
Im Zeitraum von Jänner bis August 2024 gab es 104 allgemeine Sicherheitslücken und 129 die Qualcomm betrafen, davon 10 als kritisch eingestuft.

Im Jahr 2023 waren 62,32% allgemeine Sicherheitslücken und 37,68% die Qualcomm betrafen.
01.2024 - 08.2024 waren 44,64% allgemeine Sicherheitslücken und 55,36% die Qualcomm betrafen.

Somit würde ich der Aussage zustimmen:

End-of-life (EOL) devices lack half of the privacy/security patches.

Zum Thema Fairphones ist folgender Post noch interessant:
Is Fairphone really interested in sustainability? - #2 by SkewedZeppelin - The Products - Fairphone Community Forum

3 „Gefällt mir“

Bittesehr
https://source.android.com/docs/security/bulletin/asb-overview

Ich finde es erschrecken und erstaunlich zu gleich, wieviele Sicherheitslücken so aufkommen.

Warum erfährt man eig. von keinen größeren Schäden durch die Sicherheitslücken?

Ernst gemeinte Frage.

Bei der Anzahl an benutzen EoL Geräten müsste doch viel mehr an Pannen, Diebstähle und Problemen aufkommen.

Oder interessiert sich einfach keiner für die Sicherheitslücken, weshalb die Geräte dennoch genutzt werden?

Kenne Leute, die nutzen noch Samsungs aus 2016.

Auch werden viele Geräte Kindern weiter gegeben.
Wenn man mal vom neuen Pixel und iPhone absieht. Sind fast alle Handys ab 3 Jahren EoL.

2 „Gefällt mir“