Verzögerte Auslieferung von Sicherheitsupdates

[BeTheChange]

Aus einem aktuellen Beitrag auf dem Kuketz-Blog:

Viele Android-Hersteller, wie Fairphone, liefern Sicherheitsupdates oft verspätet und unvollständig, obwohl sie langfristige Unterstützung versprechen. Fairphone verzögert sowohl monatliche als auch jährliche Patches erheblich, besonders bei älteren Geräten, und stellt dies fälschlicherweise als längere Unterstützung dar. Die Mehrheit der Nutzer ist sich solcher Details nicht bewusst und vertraut daher den Versprechen der Hersteller. Sie gehen davon aus, dass ihr Smartphone auf dem neuesten Stand ist und alle Sicherheitsupdates erhält. Dadurch entsteht eine trügerische Sicherheit.
[...]
Vor allem Patches für Sicherheitsprobleme mittlerer Schwere fehlen häufig.

Quelle: Sicherheit: Worauf du beim Kauf eines neuen Android-Smartphones achten solltest

Das hört sich ja nicht so gut an.

Wie sieht denn die Lage beim ShiftOS aus?

 

[NoG....eFan]

Noch schlimmer, hoffentlich verbrennst du dich nicht bei diesem Thema. Denn es gibt hier einige Leute im Forum die das Thema gar nicht gerne lesen, weil es viel wichtigeres gibt. Da ist man mal schnell unten durch. Ich habe mir bei diesem Thema die Schnauze ordentlich verbrannt. Tschüss

 

[NoG....eFan]

Aber bei IodeOS klappt es. Monatliche Patches sind der Standard.

 

[Krabbat]

Ich habe die Hoffnung, dass es mit Sicherheitspatches usw. bei Shift zunehmend besser wird. Das Thema Softwareupdates stand beim Shiftphone 8 von Anfang an hoch auf der Agenda, es ist extra ein Qualcomm Long-Term Support Chip ausgewählt worden und die Kooperation mit Lineagos ist ja mittlerweile auch verstärkt. Und bei Lineageos werden die Sicherheitspatches sehr schnell und regelmäßig ausgeliefert.

 

[Revan335]

Aber bei IodeOS klappt es. Monatliche Patches sind der Standard.

LOS ist auch dabei. Die haben ja meist Wöchentliche Updates. Oder waren es 2 Wöchentliche? Der Turnus hatte mal gewechselt. Täglich war es in der Vergangenheit auch mal.

 

[BeTheChange]

Aber bei IodeOS klappt es. Monatliche Patches sind der Standard.

Monatliche Patches bedeutet aber noch nicht,
a) dass das auch aktuelle Patches sind und
b) dass alle gepatchten Sicherheitslücken damit ausgeliefert werden

Hier wird das gut erklärt:

For both Android and iOS, only the latest OS release receives full security patches. Android backports more than iOS to older releases, but it’s only the High and Critical severity patches. Nearly all Moderate and lower severity patches aren’t backported including most privacy fixes.

Each month, there’s a new Android release. The monthly security patches are the incomplete backports, not the latest release. Non-Pixel OEMs only ship the incomplete backports at best right now.

With the example of Fairphone, they ship the Android Security Bulletin backports with a 1 or 2 month delay. They don’t ship monthly or quarterly releases, so they miss all those patches. The yearly updates get shipped with at least 1 year of delay, so they can’t ship the current monthly and quarterly releases without fixing that first. The delays get longer as the devices get older, until the point it’s multiple years with the delays portrayed as providing longer support.

Quelle: https://www.kuketz-blog.de/sicherhe...es-neuen-android-smartphones-achten-solltest/

 

[NoG....eFan]

LOS ist auch dabei. Die haben ja meist Wöchentliche Updates.

Lineage hat zwar wöchentliche Updates aber trotzdem gibt es die Sicherheitspatches 1x im Monat. Alle anderen auf Lineage basierenden (IodeOS), (CalyxOS das aber nicht mehr für Shift 6mq weiter supported wird) orientieren sich an Lineage.

Monatliche Patches bedeutet aber noch nicht,
a) dass das auch aktuelle Patches sind und
b) dass alle gepatchten Sicherheitslücken damit ausgeliefert werden

Du liest ja den Kuketz, dann lies auch Iode

 

[NoG....eFan]

Monatliche Patches bedeutet aber noch nicht,
a) dass das auch aktuelle Patches sind und
b) dass alle gepatchten Sicherheitslücken damit ausgeliefert werden

Um was gehts dir denn eigentlich? Wenn du die beste Sicherheit haben willst solltest du zu GrapheneOS wechseln. Bei ShiftOS bist du zumindest vollkommen falsch was die Patches an geht. Ich nehme dann lieber das kleinere Übel. Lieber ein paar kleinere Patches jeden Monat als gar keine Patches Jahrelang.

 

[Silva]

Man arbeitet ja am Upstream Kernel für das 8er. Mal gucken ob sie ihre Versprechungen zu regelmäßigen zeitnahe Patches beim 8er damit besser umgesetzt bekommen.

 

[TobiasL.]

Ich glaub man muss das ganze auch in Verhältniss setzten Fairphone und auch shift haben ein begrenztes team, aber vor allem hat Fairphone alle Rekorde an supportlänge im android Bereich gebrochen, lange bevor Google und Samsung von 7 Jahren Softwearsupport geredet haben. Und das bedeutet das die Geräte überhaupt Updates bekommen haben die ein anderer Hersteller nach 2-5 Jahren gar nicht mehr geliefert hätte, und man muss ja auch sehen das ein Patch nur weil er für AOSP veröffentlicht wird, noch nicht in ShiftOS o. a. Implementiert und getested ist, was einfach Zeit braucht, und um so kleiner das team umso besser muss man die Resourcen verteilen, man kann ein Gerät sehr schnell updaten oder mehrere mit etwas Verzögerung, was bedeutet entweder alte gerät nicht mehr supporten und neue dafür schneller oder alte Geräte möglichst lange Unterstützen, und die zeitliche verzögerung in kauf nehmen...
Und ich glaube das beides Wichtig ist, und Shift hat ja extra mehr eute eingestellt, und versprochen daran zu arbeiten.

Wenn mann immer das akuellste und sicherste will bleibt einem vermutlich nur ein Pixel, aber für die meisten werden auch etwas verspätete sicherheitspatches reichen...

 

[BeTheChange]

Um was gehts dir denn eigentlich?

Ich nehme dann lieber das kleinere Übel. Lieber ein paar kleinere Patches jeden Monat als gar keine Patches Jahrelang

Ich denke da ähnlich wie du.
Und Sicherheitsupdates sind nicht das allerwichtigste für mich, aber etwas das zunehmend an Wichtigkeit gewinnt.
Ich habe das Thema aufgemacht, um herauszufinden, ob jemand abschätzen kann, wie konsequent existierende Patches in ShiftOS eingearbeitet werden, oder ob da vieles auf der Strecke bleibt.
Ich finde zeitnahe und umfassende Sicherheitsupdates ein wichtiges Feature eines Shiftphones und finde das Bewusstsein und die Diskussion darüber wichtig.

 

[Uli]

Ich habe das Thema aufgemacht, um herauszufinden, ob jemand abschätzen kann, wie konsequent existierende Patches in ShiftOS eingearbeitet werden, oder ob da vieles auf der Strecke bleibt.

In jedem update sind die aktuellsten Sicherheitspatches integriert