Kaufempfehlung für alte Geräte überhaupt möglich?

[Mordor]

Hallo Freunde,

ich habe mich ein bisschen "befasst" und vermutlich ist es für niemanden neu. Ich selbst war aber ein wenig irritiert.
Daher würde ich gerne eure Meinung dazu hören.
Kann man denn überhaupt noch ein Gerät kaufen welches älter als 2 Jahre ist?
Rein aus Sicherheitsaspekten Aspekten.

Beispiel:
Das Lenovo Tab M10 3. Gen bekommt Updates bis Ende Februar 2025. Also 3 Monate. Dafür 100€ - Danach gibt es keine Patches mehr.
Damit wäre das nach 3 Monaten ein Briefbeschwerer, oder ?

Wie macht ihr das mit Geräten die keine Updates mehr erhalten ?

 

[Anz]

Damit wäre das nach 3 Monaten ein Briefbeschwerer, oder ?

Warum? Nur weil es keine Update mehr erhält?
Das ist quatsch, ich nutze meine Tablets teilweise noch Jahre nach dem letzten Updates weiter und habe noch nie irgendwelche Probleme damit gehabt, mal davon abgesehen das irgendwann die Power oder Kompatibilität für einige Anwendungen fehlt.
Es ist wie mit allen Dingen im Leben, wenn man ordentlich und überlegt damit umgeht, kann da auch nichts passieren

 

[Mordor]

Warum? Nur weil es keine Update mehr erhält?

Ja, klar. Natürlich deswegen. Die Geräte können nach draußen kommunizieren und sind aus dem Internet erreichbar. Eine Sicherheitslücke die bekannt ist und nicht gepatched wird ist ein Risiko.

Ich staune, ohne es zu werten, dass du das Thema sichgerheit so lapidar abgetan hast bei deinen Geräten. Klar erhalten die Apps updates aber das Gerät an sich? Ein nicht geschütztes Linux oder Windows System ist ja auch absolutes Nogo. Warum sollte es bei Handy / Tablets anders sein?

Man Fragt sich wie Botnetze entstehen in den zig tausend Geräte drin sind. Eben weil es keine Updates gibt. Die Betroffenen merken oft davon nicht mal etwas.

Gut Programmierte Schadsoftware bekommst du als Endanwender kaum bis gar nicht mit. Das Dein Gerät aber dennoch Teil einer Attacke sein kann ist für Dich kein Thema?

LG

 

[Exilbonner]

@Mordor
Updates sind so eine Sache. Das kommt immer auf den Einzelfall an, wie sicherheits(irr)relevant die Anwendung und eingesetzte Umgebung ist.
Bei eingeschalteteter Bio-App "Brain 2.0" und App-Installation von sicheren Apps aus dem Playstore ist das Risiko bei Anwendung als "Couch-Computer" ggf. im Gast-WLAN überschaubar.

Ein anderes Thema wird der Akku nach 2 Jahren sein und ob die Leistung der Hardware für die geplante Anwendung ausreichend sein wird.

 

[Mordor]

Naja nehmen wir mal das Tab M10 3. Gen als Beispiel. Das ist neu, erhält aber keine Updates mehr. Vermutlich bis EOL 3 Updates.

Die Apps sind oft nur dann angreifbar, wenn du sie verwendest. Das trifft auch auf im Hintergrund laufende Apps zu.
Das OS selbst aber wird nicht mehr aktualisiert. Läuft aber immer.

Ich verstehe was du meinst und finde es dennoch spannend mal zu lesen wie andere damit umgehen. Danke für dein Feedback.

 

[mausbock]

Die Geräte können nach draußen kommunizieren und sind aus dem Internet erreichbar.

Ähm, sorry, aber solch eine Aussage lässt mich an deinem Wissen über IT etwas zweifeln. Du kannst ja mal praktisch ausprobieren, was notwendig ist, damit du ein Android Smartphone oder Tablet aus dem Internet erreichen kannst.

Unabhängig davon kann man natürlich auch Geräte ohne die neuesten Updates weiter nutzen. Man sollte sicher kein Online-Banking machen oder sensible Daten speichern. Wenn man aber z.B. nur etwas surft oder Medien konsumiert und beim Anmelden bei Dienstleistern z.B. MultiFaktor Verfahren mit einem weiteren Gerät verwendet, kann selbst im schlimmsten Fall nicht viel passieren.

Die größte Gerfahr bei Smartphone, Tablet, PC ... sind Anwendungen, die man sich aus unbekannten / dubiosen Quellen besorgt und installiert. Dann helfen einem sogar manchmal die ganzen Sicherheitsupdates nix.

 

[wowi63]

Hallo, Mordor,

ich würde ein Gerät, das keine Patches mehr kriegt, dem geben, dem das egal ist - scheint ja genug Leute zu geben.
Ich hatte vor einiger Zeit ein gebrauchtes Samsung Tablet S2 gekauft, auf dem aktuelles LineageOS lief.

Mit Einstellen der Updates nach einem Jahr habe ich es bei Ebay angeboten mit dem Hinweis, dass es keine Updates mehr gibt. Das hat dann jemand für seine Kinder ersteigert.

Ich hatte da auch den Mail-Klienten drauf.

Ich brauche nicht, dass mir jemand mit einer Lücke im OS/ der MailApp die Passwörter ändert.

Da kann sich lohnen, auf Google Produkte zu setzten (das Tablet soll 5 Jahre Updates kriegen) oder Samsung (das Tab S6 Lite 2022 soll auch 5 Jahre Update erhalten, aber wohl nur quartalsweise). Die Handys kriegen 6 Jahre Updates?

Das letzte Fairphone soll 7 Jahre Updates erhalten.

Allerdings bin ich inkonsequent:
Mein Poco F1 ist im Sommer 2018 herausgebracht worden
Xiaomi hat vermutlich nach 2 Jahren die Patches eingestellt.
Es läuft LineageOS 4 MicroG mit Android 14 drauf, Patchlevel Oktober.
Aber die Hersteller-Patches sind von Dezember 2020. :-(.

Werde mir wohl in Zukunft Geräte kaufen, die vom Hersteller lange Updates erhalten, damit auch der Hersteller-Patch aktualisiert wird.

Gruß,
wowi63

 

[Exilbonner]

@Mordor

Hier kann man jedenfalls seriös keine Empfehlung aussprechen. Ich selbst bin überschreite nicht die EOL-Grenze und achte darauf, dass sowohl OS als auch Apps aktuell sind.

Ich selbst nutze als Phone ein Pixel 9 Pro XL und als Tablet sowie Notebook Chromebooks und als "PC" eine Chromebox., die alle noch mindestens 7 Jahre Updates bekommen.

 

[wowi63]

Jedenfalls lese ich im Heise Newsletter jeden Monat Meldungen wie diese:

Android-Patchday: Updates stopfen zwei angegriffene Sicherheitslücken

Ich verstehe die Meldungen nicht durchgreifend, aber wenn ich lese, dass die Lücken schon ausgenutzt werden, würde mich ein nicht mehr aktualisiertes Gerät beunruhigen.

 

[Mordor]

Du kannst ja mal praktisch ausprobieren, was notwendig ist, damit du ein Android Smartphone oder Tablet aus dem Internet erreichen kannst.

Das bedarf nicht viel. Es geht hierbei auch nicht um mich oder Oma von nebenan sondern im Sicherheitslücken die von Profis ausgenutzt werden. Eine Sicherheitslücke in Android 12 die nicht mehr gepatcht wird und auf Millionen Geräten nutzbar ist ist wertvoll und teuer für "die anderen"

Ähm, sorry, aber solch eine Aussage lässt mich an deinem Wissen über IT etwas zweifeln.

Absolut unpassend, wird ziemlich passiv aggressiv und ich wüsste nicht wohin das führen sollte, wenn wir darüber weiter sprechen. Aber du darfst dich gerne informieren wie Sicherheitslücken nicht gesicherter Betriebssysteme ausgenutzt werden können. Gerne sprechen wir in einem anderen Thema darüber

Unabhängig davon kann man natürlich auch Geräte ohne die neuesten Updates weiter nutzen. Man sollte sicher kein Online-Banking machen oder sensible Daten speichern.

Naja darum geht es ja. Ein Handy was man mit sich rumträgt (meine Eltern, Geschwister, Freunde) ist oft nicht mehr aktuell. Keiner kauft nach 2 oder 3 Jahren ein neues. Die Hardware reicht ja an sich aus. Um das Thema Sicherheit macht sich halt kaum einer Gedanken. Das hat dazu geführt das die Hersteller eben tausendfach Geräte auf den Markt bringen (Stichpunkt IoT - "smart" Devices) die nicht aktualisiert werden. Da wird die Waschmaschine schnell zum Botnetz hinzugefügt. Ohne das jemand etwas merkt. Vielleicht dein Provider aber das wars.

Dadurch dass aktuell mehr Menschen ein Bewusstsein entwickeln das es eben doch wichtig ist hat ja erst dazu geführt, dass die Hersteller anfangen überhaupt ein paar mehr Updates zu liefern.

Da kann sich lohnen, auf Google Produkte zu setzten

Was der Grund war, wieso ich auf das Pixel 8 Pro umgestiegen bin. Der Patches wegen. Aber Samsung und andre Hersteller legen mittlerweile ja etwas nach zum Glück - Oft aber eben nur bei neuen Geräten.

scheint ja genug Leute zu geben.

Sehe ich aktuell in meinem Umfeld auch. Es wird sich kaum bis gar keine Mühe gemacht das überhaupt zu prüfen. Da werden jetzt zu Weihnachten wieder Tausende Geräte verkauft die eigentlich schon ab der OVP ein Sicherheitsrisiko sind.

Hier kann man jedenfalls seriös keine Empfehlung aussprechen. Ich selbst bin überschreite nicht die EOL-Grenze und achte darauf, dass sowohl OS als auch Apps aktuell sind.

Mir geht es ja auch nicht um eine Seriöse Entscheidung: So macht man es richtig.

Ich möchte nur gerne mal andere Meinungen lesen.

aber wenn ich lese, dass die Lücken schon ausgenutzt werden, würde mich ein nicht mehr aktualisiertes Gerät beunruhigen.

Mich auch und es ist ein nicht zu unterschätzendes Problem. Ich bin gespannt ob und wie viele andere dazu eine Meinung haben und diese hier teilen. Spannend finde ich es auf jeden Fall.

LG

 

[Exilbonner]

@Mordor
Der Faktor Mensch spielt aber auch eine nicht zu vernachlässigende Rolle. Die sicherste Hard- und Software nützt rein gar nichts, wenn Sideloads aus unsichere Quellen erfolgen, brav in vorauseilendem Gehorsam in jeder Phishingmail alles geklickt wird, öffentliches WLAN benutzt wird - womöglich sogar noch ohne VPN.....

 

[mausbock]

Das bedarf nicht viel.

Genau diese Aussage ist nicht richtig. Die meisten Geräte werden von Routern oder Mobilfunkanbietern geschützt, indem sie aus dem Internet nicht direkt aufrufbar sind. Selbst wenn man mit so einem Gerät eine öffentliche IP zugewiesen bekommt, heißt das nicht, dass jeder, der diese öffentliche IP aufruft oder böse Dinge tun will, direkt auf deinem Gerät rauskommt.

Man muss also aktiv etwas mit dem Gerät tun, z.B. eine böse App installieren, eine Webseite aufrufen, die eine bestehende Lücke ausnutzen kann etc.
Wenn man diese Dinge nicht tut, sind die Lücken zwar da, aber nicht wirklich ausnutzbar.

 

[wowi63]

@Mordor

Ich selbst nutze ... als Tablet sowie Notebook Chromebooks und als "PC" eine Chromebox., die alle noch mindestens 7 Jahre Updates bekommen.

Ich habe parallel zum Windows bei den Notebooks ein Linux installiert und mache Dinge, die mit Passwörtern zu tun haben, nur im Linux.

 

[Exilbonner]

@wowi63
Der Windowswelt habe ich privat vor zig Jahren schon Servus gesagt, hatte aber meine letzte Thinkstation noch eine Weile mit Ubuntu laufen, bevor ich ihn durch eine Chromebox ersetzte

 

[wowi63]

Selbst wenn man mit so einem Gerät eine öffentliche IP zugewiesen bekommt, heißt das nicht, dass jeder, der diese öffentliche IP aufruft oder böse Dinge tun will, direkt auf deinem Gerät rauskommt.

Hallo, Mausbock,

Genau diese Aussage ist nicht richtig. Die meisten Geräte werden von Routern oder Mobilfunkanbietern geschützt, indem sie aus dem Internet nicht direkt aufrufbar sind. Selbst wenn man mit so einem Gerät eine öffentliche IP zugewiesen bekommt, heißt das nicht, dass jeder, der diese öffentliche IP aufruft oder böse Dinge tun will, direkt auf deinem Gerät rauskommt.

Man muss also aktiv etwas mit dem Gerät tun, z.B. eine böse App installieren, eine Webseite aufrufen, die eine bestehende Lücke ausnu

Genau diese Aussage ist nicht richtig. Die meisten Geräte werden von Routern oder Mobilfunkanbietern geschützt, indem sie aus dem Internet nicht direkt aufrufbar sind. Selbst wenn man mit so einem Gerät eine öffentliche IP zugewiesen bekommt, heißt das nicht, dass jeder, der diese öffentliche IP aufruft oder böse Dinge tun will, direkt auf deinem Gerät rauskommt.

Man muss also aktiv etwas mit dem Gerät tun, z.B. eine böse App installieren, eine Webseite aufrufen, die eine bestehende Lücke ausnutzen kann etc.
Wenn man diese Dinge nicht tut, sind die Lücken zwar da, aber nicht wirklich ausnutzbar.

Hallo, Mausbock,

jedes Gerät hängt doch entweder am WLAN-Router (also Firewall) oder Mobilfunkprovider,
dann dürften doch Lücken gar nicht ausgenutzt werden können.

In der Meldung von Heise, die ich oben verlinkt hatte, steht aber, dass zwei der Lücken bereits ausgenutzt werde.

Aber wie gesagt, ich begreife die Meldung nicht vollständig ...

 

[Mordor]

Es liegt mir hier absolut fern ein Streit oder Unmut hervor zu beschwören.
Ich denke es ist ein Fakt, dass nicht gepatchte Sicherheitslücken bei Geräten die Zugriff zum Internet haben oder aus diesem erreichbar sind eine Gefahr darstellen.

Die meisten Geräte werden von Routern oder Mobilfunkanbietern geschützt

Stimmt halt auch immer nur halb. Ja, ich weiß was du meinst und stimme zu. Das ändert aber nichts denn:

Man muss also aktiv etwas mit dem Gerät tun, z.B. eine böse App installieren, eine Webseite aufrufen, die eine bestehende Lücke ausnutzen kann etc.

das ist schon richtig.
Was macht man mit einem Handy / Tablet, wenn man (ich fasse aus dem Thema mal zusammen)

1. Keine Privaten Daten drauf hat
   1. keine Fotos, keine Banking app etc.
2. Nicht Surft
   1. Schließt YT ein und alles was mit Webseiten zu tun hat

Realistisch betrachtet macht man genau das und schon eine unseriöse Werbung auf einer Seriösen Seite kann dazu führen, dass durch den Browser auf dem OS Schadcode ausgeführt wird.

Da spreche ich nicht von porn sites oder anderen mehr oder weniger Seriösen Anbietern sondern von heise, android-hilfe etc.

Seitdem man als Website Betreiber das Austeilen von Werbung ausgelagert hat hat man auch keine Kontrolle mehr was ausgeliefert wird.

Schaut euch die letzten Angriffe auf die Infrastruktur von MS, Amazon und google an. Es gibt zig tausend große Unternehmen die regelmäßig angegriffen werden. Durch Phishing, durch Viren und Trojaner etc.

1. Ja, der Mensch ist der wichtigste Faktor!
2. Auch als sehr aufgeklärter Benutzer kannst du nichts gegen Seitenkanal oder Man in the middle und weitere Angriffe machen. Nur Punkt 1 in Anspruch nehmen, Brain 2.0 wie es hier so schön gesagt wurde.

Der "gesunde" Menschenverstand sagt einem das ein ungesichertes Endgerät ein potenziell höheres Risiko hat als eines mit Sicherheitsupdates.

Daher drehen wir uns schon auch um den Punkt den ich halt spannend finde: Was passiert mit den ganzen Geräten die keine Patches mehr bekommen? Wer kauft die noch und wie viele machen sich darüber gedanken?



Weltweit nehmen also noch rund 27% aller Benutzer eine Android Version unter Android 12 (4. Oktober 2021)
Das sind ziemlich viele potenzielle Geräte die keine Updates mehr bekommen. ein Gerät mit Android 8 ist keines mit langen Updatezyklen.

 

[prx]

Das Risiko von innen sind schädliche Apps. Bei Geräten mit wenig zusätzlich installierten Apps aus leidlich zuverlässiger Quelle ist dieses Risiko sehr überschaubar.

Das Risiko von aussen ergibt sich etwa durch WLAN und Bluetooth, bei denen es sein kann, dass bekannt gewordene Bugs einen Angriff von aussen ohne Zutun des Anwenders ermöglichen. Bei alten mobil eingesetzten Geräten kann es deshalb sinnvoll sein, beides unterwegs abzuschalten.

Es kann auch sinnvoll sein, über SMS und Messenger eingehende Mediendaten nicht automatisch abzuholen und anzuzeigen und MMS (soweit überhaupt noch unterstützt) ganz abzuschalten.

Es empfiehlt sich auch, die Geräte nicht für Fremde (oder allzu neugierige Bekannte) zugänglich rumliegen zu lassen. Lockscreens mit Passwort, PIN, Visage, Fingerabdruck könnten je nach Gerät kein ernsthaftes Hindernis mehr darstellen, ohne prohibitivem Aufwand knackbar sein. Mit Anleitung im Web.

Nichts Kritisches drauf zu haben ist natürlich am sichersten.

Beiträge automatisch zusammengeführt: Mittwoch um 17:26

Da spreche ich nicht von porn sites oder anderen mehr oder weniger Seriösen Anbietern sondern von heise, android-hilfe etc.

Wobei Browser als erstes Sicherheitsrisiko üblicherweise weit über den Gerätesupport hinaus aktualisiert werden.

Ich würde ohnehin nicht drauf wetten, dass anrüchige aber lange bestehende Seiten in sich das grösste Risiko darstellen. Die würden damit am eigenen Ast sägen. Infizierende Werbung auf harmlosen Seiten hat eine weit grössere Reichweite und kann über Werbeanbieter ohne Kenntnis des Seitenbetreibers geschaltet sein. Ein Motiv mehr für Werbeblocker.

Beiträge automatisch zusammengeführt: Mittwoch um 17:35

Wer kauft die noch und wie viele machen sich darüber gedanken?

Bis vor gut einem Jahr hatte ich ein Mobilfunk-Tablet mit Android 7 im Einsatz. Es gab bis dahin schlicht nichts Neueres im preislich akzeptablem Rahmen, was mir zusagte. Ein seit Jahren aus dem Support gelaufenes Pixel 3 ist in meinem Umfeld an unkritischer Stelle weiterhin im Einsatz - bei ebendiesem gibt es einen einfachen Lockscreen-Bypass und einen Bluetooth-Angriff.

 

[Anz]

Ich staune, ohne es zu werten, dass du das Thema sichgerheit so lapidar abgetan hast bei deinen Geräten.

Das man auf so einem Gerät keine wichtigen Dinge wie Banking oder Bezahl Apps nutzt, sollte eigentlich klar sein.
Deshalb ist diese Aussage hier eigentlich diejenige die alles sagt...

Bei eingeschalteteter Bio-App "Brain 2.0" und App-Installation von sicheren Apps aus dem Playstore ist das Risiko bei Anwendung als "Couch-Computer" ggf. im Gast-WLAN überschaubar.

Ich bin ein User der ersten Stunde was PC oder Smartphone Technik betrifft und hatte in den Jahren schon wirklich sehr viele Geräte.
Weder auf einem PC noch einem Smartphone oder Tablet hatte ich jemals einen Angriff, einen Virus der etwas anrichten konnte oder sonstige Sicherheitsprobleme.
Wenn man natürlich seine Geräte nur nutzt, ohne sich wirklich damit zu beschäftigen oder auszukennen, muss man sich nicht wundern wenn etwas passiert.

Die meisten der heutigen Generation an Smartphone Usern ist aber genau das, User die nur noch nutzen, sich aber nicht mehr mit den Geräten auskennen oder auseinandersetzten.
Ich kann davon ein Lied singen, da meine Neffen und Nichten dann immer zu mir kommen, wenn sie sich wieder etwas eingefangen haben und keinen Plan haben was sie jetzt machen müssen.

Von daher finde ich solche Diskussionen zwar immer interessant, denke mir aber das viele dieser heraufbeschworenen Probleme gar nicht erst stattfinden werden, wenn der User bei der Benutzung die oben genannte Bio-App "Brain 2.0 auch nutzen würde

 

[prx]

Bei eingeschalteteter Bio-App "Brain 2.0"

Wo gibts denn die Version 1.0? Ein Changelog wäre auch interessant.

 

[mausbock]

@wowi63 und @Mordor

Eine Lücke ist eine Lücke und dennoch gibt es gewaltige Unterschiede.

Eine Lücke, die es einem Angreifer von außen ermöglicht, sie auszunutzen, bedarf eines Gerätes bzw. Servers das auf die Anfragen aus dem Internet selbständig antwortet. Die großen Firmen, wie Google, Michrosoft & Co. müssen sich und ihre Kunden vor solchen Angriffen schützen.

Wenn das Gerät, welche die Lücken hat, nicht selbständig auf Anfragen antwortet, weil das per Router oder Mobilfunkprovider verhindert, bedarf es einer Aktion vom Gerät aus (Anwender oder App), um entsprechende Lücken auszunutzen. Man kann also versuchen, sich vor solchen Lücken zu schützen, indem man einige Regeln beachtet.

Auch bei automatisch ausgespielter Werbung gibt es Möglichkeiten, via DNS oder Apps bekannte böswillige Internetadressen zu sperren oder ggf. nur bestimmte zuzulassen (black listing / white listing).

Wie bereits von anderen hier geschrieben, kann man also mit "Brain 2.0" auch ohne die neuesten Updates überleben, und wird nich gleich gehackt.

Ich selbst hab ein Smartphone mit aktuellen Updates, wo alles wichtige drauf ist und zusätzlich noch ein älteres Tablet mit Android 11 und letzten Update vom November 2022 zum Zeitschriften lesen, Youtube schauen und bissl surfen.
Klar gibt es nie die absolute Sicherheit, aber wenn das Tablet nix wichtiges / schützenswertes hat bzw. macht, kann auch nix erbeutet werden, falls es doch einer schafft, das Ding zu hacken.