Für den Fall das jemand sich überlegt Fairphone als Alternative zu Pixel in Betracht zu ziehen, möchte ich einmal darauf hinweisen das die Update Policy von Fairphone für die Tonne ist. Im Schnitt sind die Geräte mit Security Updates 2 Monate hinterher.
Wäre schön wenn sich das ändern würde damit man auch nachhaltige Geräte verwenden kann, aber die Option das Gerät zu reparieren kann man sich schenken wenn das OS voll mit Sicherheitslücken ist. Leider für die Tonne bevor es ausgepackt ist.
Persönliche Schutz Ausrüstung?
Jetzt zu deinem Thema: Zwei Monate geht ja noch. Viele Smartphones haben seit Jahren kein neues OS vom Hertseller bekommen.
Ich sage dazu: Man muss Sicherheit ernst nehmen. Pathologisch sollte es aber nicht werden. Ich persönlich warte sogar eine Woche bis ich meine Geräte update. Dann weiß ich das evtl. Probleme mit dem Update bekomme.
Außerdem hat das Fairphone immer noch kein Secure Element. Wenigstens hat das Fairphone 6 einen ARM-v9-Smartphone-SoC (aber kein MTE) und keinen IoT-Chip wie das Fairphone 5.
Nein das ist in 2025 nicht mehr üblich und ganz sicher nicht mehr akzeptable. Das sind 2 Monate mit bekannten Exploits für die innerhalb weniger Tage nach der Veröffentlichung reverse engineered werden und gerade in letzter Zeit gab es fast jeden Monat einen Zero day der bereits ausgenutzt wurde.
Du würdest auch nicht 2 Monate ohne funktionierende Bremsen dein Auto weiterfahren.
Hängt vom Alter des Gerätes ab, oder? Früher oder später wird für alle Modelle der Support via Sicherheitsupdates enden… Und nicht jede(r) kauft sich alle vier bis fünf Jahre ein neues Phone, weil die EOL-Grenze erreicht ist. Eine Kollegin ist sogar stolz darauf, immer noch ein 10 Jahr altes Smartphone zu benutzen.
Was akzeptabel ist, wird von vielen hier im Forum ganz sicher anders beantwortet als es die Mehrheit im Biergarten tun würde.
Das ist sicherlich korrekt, nur ist eben eine dieser Gruppen zu diesem Thema informiert und die andere nicht. Warum die Meinung irgendwelcher Biergarten Proleten in dieser Frage relevant sein sollte erschließt sich mir nicht.
Genau dafür ist das Forum da informiert zu werden und die Meinung anderer hören.
Allerdings bringen mir Aussagen wie diese nicht viel…
…wenn dazu kein weiterer Content gegeben wird. Mit Content meine ich dabei nicht, wie hier im Forum öfters schon geschehen, die wahllose Aufzählung von CVEs, sondern Beispiele aus der Praxis. Ich will schließlich lernen, wie solche Lücken in der Praxis ausgenutzt werden, um auch Gefahren einschätzen zu können.
So wie ich es bisher recherchiert habe, benötigen fast alle Exploits physischen Zugriff oder die Zustimmung des Nutzers bei Installation einer App oder das Öffnen manipulierter Dateien. Driveby Downloads über den Browser beim Besuch einer manipulierten oder böswilligen Webseite stellen eine Gefahr da, die wiederum durch einen aktuellen Browser und Webview minimiert werden kann, auch bei einem OS ohne Updates.
Damit will ich keinesfalls die Gefährlichkeit von Sicherheitslücken bestreiten, aber für die meisten ist das Gefahrenpotential doch deutlich reduziert. Umso mehr je genauer man über das Thema informiert ist.
Warum jetzt ein Biergarten zwingend etwas mit Proleten zu tun haben muss, erschließt sich mir nicht. @Musti wollte wahrscheinlich mit dem Biergarten nur zum Ausdruck bringen, dass sich ganz viele Nutzer von Smartphones überhaupt keine Gedanken darum machen und viele auch keine Updates haben und trotzdem verhältnismäßig Wenige von der Ausnutzung einer Sicherheitslücke betroffen sind.
Da hast Du mich etwas missverstanden und/oder ich mich unglücklich ausgedrückt.
Meine Aussage sollte sein, dass nicht alle die gleichen Sicherheitsbedürfnisse haben; aus welchen Gründen auch immer … Mangelndes Wissen und kein Interesse spielen da sicherlich auch eine Rolle, was dann zur „Interpretation“ von @ToKu passt, der ich so zustimmen kann.
Unstrittig: Die Riskoabwägung für „Welchen App-Store will ich nutzen?“, „Welche Apps will ich installieren?“, „Wie kann ich das Gerät sicher machen?“ usw. kannst nur Du für Dich selbst machen, unabhängig davon, was andere denken oder empfehlen. Aber auch ich finde das schwierig, da es ja nicht reicht, die Sicherheitslücken zu kennen; man müsste auch einschätzen können, wie hoch Wahrscheinlichkeit ist, davon betroffen sein zu können. Spätestens da bin ich dann raus…
Deine Aussage…
…ignoriert die Tatsache, das andere halt nach anderen Kriterien entscheiden, als Du es tust.
Und wie @ToKu auch schon treffend erwähnt hat: Biergarten und Proleten gehört nicht zwingend zusammen.
Warum sollten Meinungen an sich relevant sein? Sicher kann jeder seine Meinung haben, nur sollten eben die Argumente dazu als Information dienen, nicht die (unqualifizierte) Meinung an sich.
Was nicht das Problem ist wenn dies tatsächlich auf Basis von qualifizierten Kriterien passiert. Nur ist das eben nicht oft der Fall wenn man die Meinung durchschnittlicher Nutzer betrachtet. Kuketz Blog ist da schon eher eine relevante Quelle und genauso wie der Rest der IT Industrie werden zeitnahe Updates eben entsprechend kritisch gesehen, unterstützt von umfangreichen Forschungspapieren als Argument. Daher sehe ich eben auch nicht warum anderslautende „Meinungen“ relevant sein sollten.
Deiner Meinung nach ist die einzig relevante Meinung die, kein Smartphone ohne regelmäßige, zeitnahe und umfassende Updates zu nutzen, unabhängig vom Anwendungsszenario.
Auch wenn du prinzipiell recht hast, verstehe ich nicht, warum du dir jetzt ein bestimmtes Smartphone für deinen Thread herausgesucht hast, wo es doch auch viele andere Geräte betrifft?
Mit dieser Meinung hättest du vielleicht eine andere Überschrift für deinen Thread wählen sollen:
„PSA: Warnung vor Smartphones ohne regelmäßige Updates“
Was ich auch bei dir vermisse, ist, dass du mit keinem Wort auf die genannten Einwände eingehst, dass man je nach Anwendungsfall auch mit einem Fairphone nicht automatisch Opfer eines Angriffs wird, sondern dies pauschal als irrelevante Meinung wegwischst.
Welches Anwendungsszenario wäre denn die Ausnahme? 99,9% Verwenden ihr Smartphone als zentrales Kommunikationsdevice, das zudem zur Verwaltung von Finanzen (online Banking) dient und stehts in jedem persönlichem Gepräch der offline welt mit Mikrophoen und Kamera dabei ist.
Irgendwelche theoretischen Ausnahmen bei denen das Gerät „nur“ für einen unkritischen Use Case verwendet wird ist wohl kaum ein üblicher Grund sich für hunderte Euro ein solches Gerät zu beschaffen.
Die Fairphones werden aber gerade besonders gehyped mit Verweis auf den Jahre langen Update Support. Nur ist das eben nahezu wertlos Updates zu bekommen die 3 Monate alt sind, somit gibt es stehts mehrere Wochen alte Exploits für die Fairphones anfällig sind. Daher sollte mit diesem Post lediglich auf diesen Misstand hingewiesen werden.
Wenn du einen Thread mit allen Geräten die dieses Problem haben aufmachen willst wäre das sicher auch ein hilfreicher Beitrag.
Und warum teilweise Updates unzuverlässig sind wurde schon ausführlich Diskutiert, siehe z.B. die Dokumentation von GrapheneOS. Beispielsweise gibt es bei Android eine Middleware für das parsen von mediendateien die ihre API allen anderen Anwendungen zur Verfügung stellt und regelmäßig Patches für Remote Code execution bekommt. Ein aktueller Browser der diesen Service verwendet hilft da nicht weiter.
Ich spreche regelmäßig mit Leuten, die die Fälle bearbeiten, wo Leute Geld durch „gehackte Smartphones“ verloren haben. Diese Opfer entsprechen dem von Dir angegebenen Nutzungszenario von 99% der Bevölkerung. Ich habe noch von keinem Fall gehört, bei dem ein Zero-Day, sonstiger Exploit oder überhaupt ein Hack im Spiel war. Schuld ist immer eine Form von social engineering.
Auch Datenklau erfolgt fast immer über regelgerecht installierte Apps und nicht über nicht rechtzeitig eingespielte updates.
Exploits aufgrund fehlender security updates oder gar zero days spielen für die von @Banana angegebene Bevölkerungsgruppe praktisch so gut wie keine Rolle. Viel wichtiger ist, dass die Nutzer das phone gut und kompetent bedienen können. Und dabei sind die überfrachteten factory roms diverser großer Hersteller keinerlei Hilfe.
Natürlich kannst Du hier verspätete updates anprangern, aber das an sich spricht nicht gegen Fairphones. Das ist halt kein Riesenunternehmen. Es kann trotzdem die richtige Wahl sein, wenn es dem Nutzer den kompetenten Umgang erleichtert.
Die Leute in diesem Thread springen an, weil dieses fearmongering wegen verspäteter updates jedem auf die Nerven geht, der praktische Erfahrung mit den realen Sicherheitsproblemen normaler Menschen hat. Und weil es auch in gewissem Maße schädlich ist. Menschen verlassen sich auf updates und verstehen nicht, dass die wirklichen Gefahren ganz woanders liegen.
Jepp so ist es… Diese zero day exploits werden beim normalen Bürger so gut wie keine Rolle spielen. Wohl aber bei Personen von Interesse wie zB Journalisten, Aktivisten usw… Da gibt es die ein oder andere nette Software aus Israel die eben genau diese Lücken ausnutzt. Von daher würde ich mir schon Gedanken machen…aber wenn ich in diesem Bereich des Gedankenspiels unterwegs bin sollte ich mir auch Gedanken machen ob ich eine Simkarte nutze, ob ich 2g ausgeschaltet habe usw usw…
Der normale Bürger ist einfach nicht betroffen… Von daher geht es den meisten von uns hier auch wohl eher um den Datenschutzaspekt. Da kann man relativ beruhigt zu shift oder fairphone greifen oder aber zu gebrauchten Geräten die man dann mit dem entsprechendem OS ausstattet…
Das ist auch eine den prominentesten Angriffsvektoren und vor allem eine die vom Nutzer natürlich im Anschluss bemerkt wird wenn das Geld weg ist. Das bedeutet aber nicht das technische Angriffe ohne Nutzerinteraktion nicht relevant sind. Angriffe die nur Info stealer oder kryptominer als payload haben werden auch nicht von normalen Nutzern entdeckt. Selbst wenn Exploits 99% aller Angriffe ausmachen würden wären nur die Social Engineering Angriffe prominent in der wahrnehmung. Das hat doch gar keine Aussagekraft.
Und überhaupt kann man mit der Logic auch die Meinung vertreten das Onlinebanking kann man ja auch mit Windows XP und internet Explorer 6 machen.
Das ist kompletter Unsinn.
Niemand wird Zero Days für Angriffe auf normale Nutzer einsetzen, die Dinger kosten Millionen. Aber ehemalige Zero Days werden irgendwann entdeckt und geschlossen, was als Folge hat das die Exploits für weniger Geld auf Marktplätzen angeboten werden bis sie nach ein paar Monaten für nen paar Euro verfügbar sind oder öffentlich werden. Und den Zero Day vom Letzten Jahr kannst du als Script Kiddie auch verwenden.
Doch, das spricht absolut gegen Fairphone. Warum zum Henker sollte man so einen Müll auch noch unterstüzen? Diese Firma mag einige erreicht haben durch ihren Ansatz und inzwischen ist es gesetzlich vorgeschrieben das 5 Jahre Updates Pflicht sind (seit letzter Woche). Aber in Hinsicht der Update Geschwindigkeit haben die halt versagt. Bleibt zu hoffen dass das nächste EU Gesetz dazu Updates innerhalb von einer Woche verpflichtend macht da es ja offentlichlich notwendig ist.
Sorry aber selbst Custom Roms sind um ein vielfaches schneller und das ist alles Arbeit von Freiwilligen ohne Firma. Bei Graphene kannst du die Stunden zählen bis zum Update, und selbst als ich noch vor Jahren mit lineage OS experimentiert habe gab es dort zumindest für das Android (außer Firmware) minestens Wöchentliche Updates… für 10 Jahre alte Geräte die nur noch von der Community unterstützt wurden. Also komm mir bitte nicht mit derart traurigen Ausreden. Wenn wir sowas akzeptieren wird sich nie etwas verbessern.
lol jetzt sind Hinweise auf Sicheheitsupdate schon fearmongering. Sowas hab ich seit Jahrzehnten nicht mehr gelesen, ich dachte wir sind weiter.
Wie oben erklärt ist das falsch. Was heute Zero Day ist, wird bald im Werkzeugkoffer von Scriptkiddies landen.
Wenn sowas unterstüzt wird dann muss man sich auch nicht mehr wundern warum es Gesetze für sowas braucht.
Nur um das nochmal klar zu sagen: Ja Social Engineering ist für die meisten Nutzer ein primäres Problem, das macht Updates nur nicht weniger wichtig.
Im Gegenteil sind viele ehemaligen Angriffsmethoden weniger prominent weil heute Updates so priorisiert werden.
Oh jetzt hab ich was gelernt… jemand der nicht einen einzigen Beleg für seine Thesen hat, will hier andere Nutzer belehren… Okay wir haben alle etwas gelernt und jetzt zurück zum Tagesgeschehen. Alles andere bringt nichts
jemand der nicht einen einzigen Beleg für seine Thesen hat, will hier andere Nutzer belehren… Okay wir haben alle etwas gelernt und jetzt zurück zum Tagesgeschehen. Alles andere bringt nichts 
