Relevanz von Android Version- und Sicherheitsupdates

[TR2013]

Mich beschäftigt die Eingangsfrage ebenso. Ich überlege wieder mal im Winter oder mit den neuen Modellen im Frühjahr mir ein neus Smartphone zuzulegen. Ich benutze ein Samsung A5 2017 und möchte auch mit dem nächsten Gerät wieder gut 5 Jahre oder mehr auskommen.

Überlegungen sehen dann oft wie folgt aus:

• soll ich mir bei Erscheinen im Frühjahr etwas wie ein Samsung A34 im 5 Jahres Softwaresupport zulegen,
• oder zum wahrscheinlich ähnlichen Preis ein Google Pixel "X"a, dass schon eine Zeit lang am Markt ist mit nicht mehr ganz so langem Support,
• oder überhaupt ein alternatives Modell wie ein Sony XPperia 10 III oder IV, das schon etwas am Markt ist und noch dazu viel kürzeren Support bietet aber aus dem einen oder anderen Grund (Größe, Kammera, UI ohne viel Bloatware) attraktiv wirkt.

Mir geht es nicht um Features und die Softwareversion selbst sondern nur um die Sicherheit. Mein Samsung läuft mit Android 8 und ich benutze Avast Mobile Security. Aber eigentlich nervt jedes Free Security Tool mit Werbung oder sonstigen Aufdringlichkeiten und ich würde gern ohne diese Extra Tools auskommen, weiß aber nicht ob das so klug ist.

Ich benutze am Handy den Amazon Shop und sicher zwangsweise zukünftig auch online-Banking. Daher meine Frage ob und wie lang man solche Handys auch nach Supportende noch verwenden kann/soll.

 

[norKoeri]

[…] nur um die Sicherheit

Apple iPhone?
Google (und die Geräte-Hersteller und die Apps) schieben immer mehr Dienste nach, die dann wieder Verhalten abgreifen. Bin wirklich enttäuscht, dass Google es nicht einmal versucht, Schritt für Schritt besser zu werden … sondern immer weiter in die Kerbe haut. Schon seit Start völlig überfordert und immer noch überfordert. Die Geräte-Hersteller und die App-Anbieter machen mit Google, was sie wollen.

Amazon Shop und sicher zwangsweise zukünftig auch online-Banking

Die Frage ist eher, gegen was Du Dich schützen willst. Hast Du bei Amazon schon 2FA aktiviert? Bei Deiner Bank ist das inzwischen Pflicht. Aber warum Handy und nicht eigenen Generator nehmen? Ich würde soviel wie möglich auf den Computer verlagern. Das ist nicht unbedingt sicherer, sondern zwingt Dich eine Pause zwischen Impuls und Ausführung zu setzen. Also erstmal drüber nachdenken.

Softwaresupport

Auch das nicht überbewerten. Niemand garantiert Dir, dass der Hersteller wirklich alle Patches einspielt. Die können einfach drauf schreiben, das ist das Security-Patch-Level von heute. Und bei Samsung plätschert der Support auch aus, ein Quartal hinterher teilweise von Anfang an, irgendwann wird es ein halbes Jahr. Und keiner garantiert Dir, dass Samsung durch sein One UI nicht eigene neue Security-Bugs eingeführt hat, um die sich halt bisher noch niemand gekümmert hat.

Sony Xperia 10 III oder IV

Bei den beiden Modellen: Wenn es aus dem, Support ist, könntest Du zu Lineage (oder Jolla Sailfish OS) wechseln.

 

[MSSaar]

TR2013,

wo du Banking ansprichst ...

Die Banken sorgen selbst für ihre Sicherheit. Wenn denen ein System zu unsicher ist, werden sie ihre Systemvoraussetzungen anpassen.

 

[TR2013]

Apple iPhone?

Damit auch das lang genug hält, müsste man ein halbwegs aktuelles kaufen und das ist mir zu teuer (und das "SE" mit so einem Bildschirm heutzutage einfach unangebracht). Außerdem sind mit Designentscheidungen von Apple sehr unsympathisch wenn ich nicht mal auf allen Modellen entscheiden kann ob ich die Akkuanzeige als %-Zahl sehen kann.

Die Frage ist eher, gegen was Du Dich schützen willst. Hast Du bei Amazon schon 2FA aktiviert? Bei Deiner Bank ist das inzwischen Pflicht. Aber warum Handy und nicht eigenen Generator nehmen? Ich würde soviel wie möglich auf den Computer verlagern. Das ist nicht unbedingt sicherer, sondern zwingt Dich eine Pause zwischen Impuls und Ausführung zu setzen. Also erstmal drüber nachdenken.

Danke, ich habe kein Problem mit Impulskontrolle. ;-) Amazon am Handy ist einfach ein nice-to-have um unterwegs etwas nachschauen zu können oder auf die Liste zu legen.
Habe Onlinebanking gern am PC aber zumindest in Österreich entscheidet die Bank ob es noch SMS-TANs gibt und ob ein TAN-Generator statt der App möglich ist. Noch läufts mit SMS-TANs aber die Banken finden sicher bald ein Sicherheitsargument damit sie die SMS-Gebühren nicht mehr zahlen müssen.

Auch das nicht überbewerten. Niemand garantiert Dir, dass der Hersteller wirklich alle Patches einspielt. Die können einfach drauf schreiben, das ist das Security-Patch-Level von heute. Und bei Samsung plätschert der Support auch aus, ein Quartal hinterher teilweise von Anfang an, irgendwann wird es ein halbes Jahr. Und keiner garantiert Dir, dass Samsung durch sein One UI nicht eigene neue Security-Bugs eingeführt hat, um die sich halt bisher noch niemand gekümmert hat.

Was ist dann die beste Variante um vonwegen Patches auf der sicheren Seite zu sein? Und quasi die Gegenfrage: ist es überhaupt wichtig? Als Laie kann ich nicht feststellen ob in meinem Usecase Sicherheitsupdates relevant sind.

Bei den beiden Modellen: Wenn es aus dem, Support ist, könntest Du zu Lineage (oder Jolla Sailfish OS) wechseln.

Danke, ist mir zu kompliziert. Möcht mich damit nicht beschäftigen. Ist auch der Grund warum ich meine Handys lange behalte. Wozu neukaufen solang alles noch halbwegs läuft. Ist nur Aufwand zum Einrichten ohne viele sinnvolle Neuerungen. Alles wa ich brauche läuft. Es wird nur etwas flotter und die Kamera ist besser. Ok, es wird auch einerseits ein besseres Display haben und gleichzeitig nicht mehr so gut in die Hosentasche passen. ;-)

 

[norKoeri]

kann […] nicht feststellen ob in meinem Usecase Sicherheitsupdates relevant sind.

Das ist egal, denn …

Was ist dann die beste Variante um vonwegen Patches auf der sicheren Seite zu sein?

Google Pixel. Aber die Frage ist, ob Software-Patches allein Dein Sicherheitsproblem sind. Oder ist es

1. direkte Werbung-Einblendung,
2. persönliches Verhaltenstracking
3. allgemein Telemetrie.

Selbst Letzteres sehe ich kritisch, weil ich dann plötzlich für eine Firma arbeite. Abgesehen davon, dass jene Firma so abgesichert sein müsste, dass nicht jemand Drittes doch irgendwann in die anderen zwei Rubriken übergehen kann. Vielen, auch hier im Forum ist Letzteres völlig egal. Manchen auch Zweitens. Aber auch das sind alles Dinge allein aus dem Blickwinkel auf den Geräte-Hersteller. Du hast dann noch den Blickwinkel auf die Apps. Daher ist es immer eine Frage, gegen was Du Dich absichern willst, was Du nicht mehr willst. Das kannst Du in der Regel auch nicht alles von Heute auf Morgen haben. Das wäre zuviel Umstellung auf einmal. Mein Tipp: Immer ein Stückchen weiter gehen.

SMS-TANs

Das ist so ein Beispiel. Davon halte ich für 2FA gar nichts und habe das wo immer möglich nicht als 2FA.

Damit auch das lang genug hält, müsste man ein halbwegs aktuelles kaufen

Nicht bedingt. Aktuell zieht Apple auch für alte Geräte Security-Patches nach. Man hat nicht das aktuellste iOS, erhält trotzdem Patches. So ist ein Apple iPhone 5s Stand heute noch aktuell. Das macht Google anders: Erhält ein Modell keine OS-Updates mehr, gibt es bereits ein Jahr später auch keine Patches mehr.

soll ich mir bei Erscheinen im Frühjahr etwas […] mit 5 Jahres Softwaresupport zulegen

Klingst nach einem Kandidaten für das Fairphone 4. Ansonsten: Spricht was gegen Google Pixel?

Ansonsten würde ich das mit dem Software-Support ignorieren, das Modell nehmen, was am besten passt und eine Wette eingehen; also das es nicht kaputt/verloren geht und dann immer noch Updates erhält. Wenn dann die Situation eintrifft, dass es solange durchgehalten hat, dass keine Updates mehr kommen, erst dann die Situation neu bewerten.

 

[TR2013]

Vielen Dank für die ausführliche Antwort!

Mir ist noch nie ein Handy runtergefallen, sonstwie kaputtgegangen oder hätte eins verloren. Weiß nicht warum das immer so ein großes Thema ist.

Das Pixel spielt erst nach ungefähr einem Jahr am Markt in der Preisklasse der Samsung A3x, deshalb hat im Vergleich Samsung die längere Supportdauer.

Bei iPhones liegen wir bei mehr als 5 Jahren Support, bringt mir aber nix wenn geschätztermaßen selbst ein rd. 2 Jahre altes Modell weit teurer ist als die genannten Alternativen.

Das mit den kleinen Schritten kann ich nicht nachvollziehen aber ich bin auch sonst kein Konsument wie ihn sich die Unternehmen wünschen. ;-)

Bei der Sicherheit geht es mir nur um MEINE Sicherheit betreffend monetärer und Privatspäre (Bilder) Verluste. Nicht das Rundherum betreffend Analyse und Werbemaßnahmen.

Zuguterletzt: 2FA bedeutet, dass ich Onlinebanking am Handy bräuchte, was ich noch meide. Sonst bin ich deiner Meinung.

Edit: gibts nicht eine neue EU Regelung, dass Handys zukünftig länger supportet werden müssen? Da war doch mal was...

 

[norKoeri]

Supportdauer

Mein Argument war nicht die Zeitspanne, sondern dass Patches auch wirklich eingespielt werden. Und aufgrund der Verbreitung überhaupt gefunden werden.

rd. 2 Jahre altes Modell weit teurer

Das ist die Frage, was Du Dir gönnen willst. Mal abgesehen vom unterschiedlichen Wertverlust.

Weiß nicht warum [Handy-Verlust] immer so ein großes Thema ist.

Ich rechne das als Wahrscheinlichkeit mit ein. Du hast zu einer gewissen Wahrscheinlichkeit das Telefon innerhalb der Support-Dauer nicht mehr. Wenn Du dieses Risiko ignorieren willst, einfach machen.

Das mit den kleinen Schritten kann ich nicht nachvollziehen […]

Wenn Du IT-Security so leben würdest wie ich, wärst Du anfangs überfordert, weil Du keine Routine in den Abläufen hast. Das muss man langsam einspielen und üben, damit man effizient bleibt, ansonsten bricht man aus.

nur um MEINE Sicherheit betreffend monetärer und Privatsphäre (Bilder) Verluste

Die interessiert global kein Mensch. Wenn Dich jemand angreifen will, macht er das über Social-Engineering. Problem ist, dass man eine soziale Verantwortung hat, die bisher nur moralisch ist.

2FA bedeutet, dass ich Onlinebanking am Handy bräuchte, was ich noch meide.

Verstehe ich leider nicht. 2FA braucht kein Handy.

 

[TR2013]

Nochmals vielen Dank, dass du auf mich eingehst. Les ich gern.

Mein Argument war nicht die Zeitspanne, sondern dass Patches auch wirklich eingespielt werden. Und aufgrund der Verbreitung überhaupt gefunden werden.

Verstanden.

Das ist die Frage, was Du Dir gönnen willst. Mal abgesehen vom unterschiedlichen Wertverlust.

Ich weiß ungefähr was ich mir gönnen will, ein Handy um max. 300 €. Wertverlust egal da ich nicht vorhabe es loszuwerden solang es noch halbwegs läuft. Daher die Überlegungen.

Wenn Du IT-Security so leben würdest wie ich, wärst Du anfangs überfordert, weil Du keine Routine in den Abläufen hast. Das muss man langsam einspielen und üben, damit man effizient bleibt, ansonsten bricht man aus.

Das zählt nur wenn man viele Funktionen nutzt oder Professionist ist. Bin da ein filthy casual dem das egal ist. ;-)

Verstehe ich leider nicht. 2FA braucht kein Handy.

Kommt drauf an was die Bank bietet, oder?

Meine eingängliche Frage "ob und wie lang man solche Handys auch nach Supportende noch verwenden kann/soll" ist leider bei den Argumenten für andere Geräte oder Vorgangsweisen etwas untergegangen. Ich nehme hiermit an, die Antwort ist: "eher nicht weiterbenutzen".
Was mich wohl dazu führen würde im Frühjahr eher ein nigelnagelneues Low/Mid-Samsung mit 5 Jahren frischer Updategarantie zu nutzen (hab verstanden, dass es dann darum geht ob diese im Einzelfall auch wirklich kommen) als ein älteres Topmodell zu ähnlichem Preis da selbst die Google-eigene Updategarantie nicht weniger in der Kritik steht, was ich so am Rande mitbekomme.

Vielleicht kommt ja bis dahin auch ein iPhone SE mit für mich annehmbarerem P/L-Verhältnis als das aktuelle, das aussieht wie mein erstes Smartphone. ;-)

 

[norKoeri]

Kommt drauf an was die Bank bietet, oder?

Auf Nachfrage müsste eigentlich jede Bank 2FA auch ohne Handy ermöglichen. Kenne in Deutschland jedenfalls keine, die das erzwingt. Viele (alle?) nutzen sogar offene Standards, die dann nicht nur den Generator der Bank sondern auch einen generischen Generator erlauben.

auch nach Supportende noch verwenden kann/soll

„Kann“ Dich keiner daran hindern. Du kannst immer noch mit der ersten Android-Version herumlaufen.
„Soll“ hatte ich geschrieben …

dem das egal ist

So eine Einstellung freut Hacker natürlich immer.

ein nigelnagelneues Low/Mid-Samsung mit 5 Jahren frischer Updategarantie zu nutzen

Bei Samsung würde ich immer 10 Monate abwarten. Dann sind die Geräte im Abverkauf und Du bekommst (üblicherweise erheblich) mehr für Dein Geld. Du verlierst dann lediglich ein Jahr bzw. eine Android-Version.

 

[Pitt_G.]

@norKoeri ich warte 3 Jahre bei Samsung bis die S Modelle Restposten sind.
wobei ich mal in 3 Jahren gucken werde, was da so auf dem Markt ist was mein privates Ökosystem so unterstützt. (Diverses Zubehör, deren Schnittstellen ich relevant sehe., Klinke, AFC Netzteile, QI, APTX...)
hab ich eigentlich gesagt dass meine Bank noch Android 7 von 2016 unterstützt

Dummerweise fängt Google und Samsung gerade an diverse Apps nur noch optional zu installieren.
Heisst, die fliegen aus dem Langzeitsupport und werden ersetzt.

Die Google Home App war noch nie drin und gibts jetzt nur noch für Android 8....