Braucht man nun Sicherheitsupdates oder nicht?

[Swollo96]

Ich habe dazu schon relativ viel gelesen, kann mir diese Frage aber immer noch nicht zufriedenstellend beantworten. Ich weiß auch nicht, wessen Meinung man da wirklich glauben kann.
Was ich am häufigsten gelesen habe:
1. Sind Sicherheitsupdates wichtig? -> "eher ja" bis "ja"
2. Hat jemand schon mal gehört, dass eine solche Sicherheitslücke irgendwie ausgenutzt wurde? -> "nein"

Dann gibt es ja noch diese Statistik, dass ca. 90% der benutzten Android-Handys keine Sicherheitsupdates mehr bekommen. Ein solches Handy (Note 4) benutze ich seit Jahren und mir war das mögliche Problem bis vor Kurzem gar nicht bewusst.

Von Leuten, die einen kompetenteren Eindruck machten, hab ich öfter gelesen, dass es wichtiger sei, keine APKs runterzuladen, keine dubiosen Seiten zu besuchen etc. Ich mache kein Online Banking auf dem Handy, aber eigentlich dürfte man ja dann auch kein Amazon etc nutzen, wo man mit einem Klick etwas kaufen kann.

Ich wollte mir nun eigentlich ein gebrauchtes Note 8 oder Note 9 kaufen. Mein Problem ist, dass ich gerne ein Samsung-Handy hätte (Apple ist optisch leider echt nicht meins) und dass auch da eigentlich nur die Note-Reihe in Frage kommt. Das Note 9 hat im Mai das letzte Update erhalten. Ein gebrauchtes Note 10+ gibt es für ca. 350€ - das bekommt noch ein Jahr Sicherheitsupdates.

Also: Braucht man nun Sicherheitsupdates oder nicht?

 

[Hego.dmsk]

Interessanter Thread.
Einiges wurde hier schon diskutiert:
Asus Zenfone 9 Nur 2 Jahre Updates, ein Grund es nicht zu kaufen?

Edit:
Gerade gemerkt, dass der andere Thread hauptsächlich um die Majorupdates geht, nicht um Sicherheitsupdates
Könnte aber trotzdem interessant sein

 

[thomaspan]

@Swollo96, hier noch etwas Lesestoff

Wie weiter, wenn Update und Upgrade-Zeitraum abgelaufen sind?

Entgegen dem im Link anfangs angegebenen Gerät habe ich mittlerweile seit längerem ein Cubot mit Android 10 und Sicherheitsupdate vom 05.08.2020 (ich wusste schon vorher, dass da nix mehr nachkommt) + bin - ohne Bank- o. Zahlgeschichten drauf - zufrieden.

 

[EffBieEi]

Also ich für meinen Teil lasse mich von der offenbar recht tiefsitzenden Angst vereinzelter Hardcoresmartphonisten nicht mal entfernt anstecken. Warum ?
Ich hab - neben meinem aktuellen Moto G60S - noch zwei weitere Flachtelefone in Besitz, einmal ein Wiko Y81 ( aus 2020 mit Android 10 ) und ein Huawei Y5II ( aus 2016 mit Android 5.1 ), welche updateseitig teils deutlich über ihre Zeit aktiv verwendet wurden ( und auch noch werden ), und was soll ich sagen: sie lahmen nicht, es gibt keine ungewollten Aktionen jedweder Art, nichts wurde jemals unbemerkt und ungewollt installiert oder entfernt, es wurden keine Funktionen beeinträchtigt, nada. Alles ist wie am ersten Tag; kurz gesagt, sie laufen softwareseitig bis zum heutigen Tag völlig unauffällig.

Es ist also auch nach ihrem 'Software-Zenit' rein gar nichts geschehen, obwohl ja - überspitzt gesagt - eigentlich schon längst das gesamte Übel der Menschheit auf die völlig ungeschützten, armen Dinger hereingebrochen sein müsste, ginge man nach den Gebockshornten.

Da stellt sich doch gleich die Preisfrage: hab ich als Einzigster über all die Jahre mit meinen zwei unterschiedlich alten Geräten von unterschiedlichen Herstellern mit unterschiedlichen Softwareversionen einfach nur unverschämt grosses Glück gehabt, oder ist es in Wahrheit doch nicht so schlimm, wie immer behauptet wird ? Also für mich spricht u.a. auch das Parsimonitätsprinzip ( bspw. das bekannte 'Ockham'sche Rasiermesser' ) dbzgl. eine sehr klare Sprache...

Aber hey, jeder so, wie er sich wohlfühlt ! Und wenn einer dieses Wohlbefinden nur via regelmässiger Handyupdates generieren kann, dann soll es eben so sein, hab da überhaupt kein Problem mit.




Gruss,
Axel.

 

[holms]

Da stellt sich doch gleich die Preisfrage: hab ich als Einzigster über all die Jahre mit meinen zwei unterschiedlich alten Geräten von unterschiedlichen Herstellern mit unterschiedlichen Softwareversionen einfach nur unverschämt grosses Glück gehabt, oder ist es in Wahrheit doch nicht so schlimm, wie immer behauptet wird ?

Sagen wir mal so: Nicht nur Firmwareupdates tragen zur Sicherheit eines Gerätes bei, dazu kommen etwa noch die installierten Apps und der eigene Umgang mit dem Gerät.

Um den Sicherheitsgewinn durch Updates allgemein zu bewerten, reichen mir zumindest nicht gute Erfahrungen mit zwei Geräten.

 

[EffBieEi]

Erster Absatz: volle Zustimmung. Zweiter Absatz: mir schon ! Aber ich weiss was du meinst.

Aber ich bin ja beileibe nicht der einzige, der das mit dem Updaten nicht ganz so wild sieht. Hier und da findet man beim kreuz und querlesen durchs Forum immer wieder jemanden, der das so oder zum. so ähnlich sieht wie ich.


Gruss,
Axel.

 

[StardustOne]

Also zum Thema Sicherheit, ich hab im 2020 noch fröhlichen das Mi Max 3 und Redmi Note 5 Pro mit allem benutzt, inklusive Online Banking. Mein Vater hat sogar noch ein Redmi 5 Plus und wurde auch nie Opfer eines Security Patch Critical Bug.

Das Redmi Note 5 Pro bekam auch seit Jahren kein Update, aus Versehen mal noch ein MIUI 12, das aber dann zurück gezogen wurde.

Dann gabs ein Mi 9 Lite, Ende Sicherheitsupdates war im Juni 2021.

Wie geht es weiter?

Und nun stehe ich vor der Wahl ein noch ungeöffnetes in Folie verschweisstes Pocophone F1 zu öffnen und für alles inklusive Online Bank zu nutzen, für das ich noch 3 Jahre Garantie bei Xiaomi habe. Dem sein Security Patch Level endete im Dezember 2020. Oder das Mi 9 Lite mit schwächelnder Batterie weiter nutzen. Und mich ständig über den rasch leeren Akku zu ärgern oder ein neues Poco M4 Pro 4G zu kaufen und 280 dafür auszugeben.

Was unternehme ich für meine persönliche Smartphone Sicherheit

Da ich regelmässig die App Updates mache, der Google Play Store sich auch immer noch aktualisiert und ich die immer noch regelmässig eintreffenden MIUI System Updates immer einspiele, da können mir diese Critical Android Security Updades doch eigentlich egal sein?

Ausser der GCam für das Pocophone F1 habe ich keine App ausserhalb des Google Play Store installiert.

Update Chaos made by Xiaomi - selbst verschuldet?

Ich hab ja nichts gegen Updates, aber mir und Millionen anderen wäre sicher mehr geholfen wenn uns die Hersteller nicht alle Woche neue Smartphone präsentieren würden, die dann zwei Jahre später keine Updates mehr bekommen. Gerade Xiaomi ist da seit 2017 total aus dem Ruder gelaufen, Rebranded Redmi Note 11 = Poco M4 Pro 4G und rebranded Redmi Kxyz = irgend ein Xiaomi oder Poco XYZ, das macht doch Null Sinn.

Bin ich sicher genug mit Security Patch Level 2020-12-01?

Aber zurück zum Thema Sicherheit und Updates, bin ich ich mit meinem alten (fabrikneuen) Pocophone F1 mit MIUI 12, Android 10 und Patch Level 2020-12-01 bei Einhaltung aller von mir erwähnen Vorsichtsmassnahmen jetzt sicher genug für Online Banking, Google Mail und Google Chrome Browsing oder nicht?

Bei allem Hype um Sicherheit, was soll mir denn passieren wenn die genannten Bedingungen erfüllt sind und ich nicht jedes dubios aussehende Mail anklicke?

 

[Meerjungfraumann]

Die Frage ist, welche Lücken bevorzugt ausgenutzt werden und da stehen fehlende Patches in der Tat hinten an, da es andere gibt, die sich mit einfacheren Mittel ausnutzen lassen. Wenn ein Dieb herumliegendes Geld in Massen einsammeln kann, wobei die Bestohlenen auch noch gerne helfen wenn man ihre Gier packt, wird er wohl keine Festung schleifen. Die Opfer werden vorrangig über ihr Ego ausgenutzt und da spielen Sicherheitslücken in Android keine Rolle.
Der Einsatz folgt stets nach dem Minimalprinzip. Allerdings gibt es Ziele, wo der menschliche Faktor sich nicht mehr überwinden lässt, wo dann die aufwändigeren Lücken genutzt werden müssen. Privatleute werden darüber aber kaum tangiert. Man muss es allerdings nicht erleichtern, indem man mit allen aktiven Funktionen herumläuft, die die Angriffsfläche maximieren.

 

[MissStyria]

Die größte Gefahr ist sicherlich, verseuchte Links oder E-Mail-Anhänge anzuklicken. Und die müssen noch nicht mal dubios und sofort erkennbar sein. Mittlerweile können ja sowohl E-Mails als auch ganze Webseiten nahezu perfekt gefälscht werden. Man merkt womöglich nicht mal, dass man auf eine solche umgeleitet wurde.

Die Frage wäre dann, was passiert, wenn ich sowas mit einem Handy mit brandaktuellen Updates und Sicherheitspatches anklicke? Und was bei einem Handy, das schon lange keine Updates mehr gesehen hat? Dürfte nur schwer werden wen zu finden, der das mal testet

 

[chrs267]

Dürfte nur schwer werden wen zu finden, der das mal testet

Freiwillig wird das sicherlich keiner machen. Aber bei beiden wird dasselbe passieren, weil die Security Patches damit nix zu tun haben. Das sind keine Updates wie bei einem Antivirenprogramm, die unerwünschte Software aufspüren. Das sind Patches, die entweder Lücken im Kernel oder im Framework schließen, mit deren Hilfe das System, bzw. die Sicherheitsfunktionen wie SELinux, ausgetrickst werden. So wäre es z.B. möglich Prozesse zu beeinflussen oder gar Root-Rechte zu erlangen. Das alles ist aber so abstrakt und umständlich, dass es sich für einen Angreifer nicht lohnt diesen Weg zu gehen.

 

[MissStyria]

Aber bei beiden wird dasselbe passieren, weil die Security Patches damit nix zu tun haben. Das sind keine Updates wie bei einem Antivirenprogramm, die unerwünschte Software aufspüren.

Das ist ein interessanter Punkt. Da immer mal wieder geschrieben wird, externe Antivirenprogramme auf PC oder Handy seien unnötig. Wahr oder nicht?

 

[Observer]

Entgegen dem im Link anfangs angegebenen Gerät habe ich mittlerweile seit längerem ein Cubot mit Android 10 und Sicherheitsupdate vom 05.08.2020 (ich wusste schon vorher, dass da nix mehr nachkommt) + bin - ohne Bank- o. Zahlgeschichten drauf - zufrieden.

Hinten anstellen bitte: mein HTC Desire 19+ zeigt mir: 01.12.2019 - gewonnen!!

 

[chrs267]

externe Antivirenprogramme auf PC oder Handy seien unnötig.

Bei Android sind sie absolut sinnfrei.

 

[Anz]

Ich mache kein Online Banking auf dem Handy, aber eigentlich dürfte man ja dann auch kein Amazon etc nutzen, wo man mit einem Klick etwas kaufen kann.

Wie es @holms ja schon richtig anmerkte ist der richtige Umgang mit den Apps auschlaggebend.
Ich nutze auch Amazon, Banking und auch Bezahl Apps (Kreditkarte, PayPal ua.) mit dem Smartphone.
Ich habe aber für alle sensiblen Apps die Two-Factor Authentication über eine Authentifizierungs App (Authy) aktiviert.
Damit bin ich der Meinung recht sicher unterwegs zu sein.