bq und Sicherheitsupdates?

[BQSupport]

Hallo @galenberg

wir dachten das die ein einzelfall war. Doch die Entwickler haben den Fehler gefunden diese Woche und sind daran am Arbeiten. Damit wir denen auch helfen können, wäre es super wenn ihr uns folgende Daten gibt:

-Seriennummer
-Anbieter
- Ob es nur mit Wlan oder mit mobile Daten geschieht oder mit beiden?

Ihr könnt gerne ein Threat auf machen oder privat schreiben.

Danke

 

[spyro2008]

Also ich bin auch was entteuscht was Android One betrifft.Dachte auch das die Sicherheitspatche jeden monat kommen,das ist ja von Android One der Sinn.Zum Glück habt Ihr das x2 in schwarz mit 4 gb ram nicht draußen.Also so gehe ich mir das x2 nicht holen und behalte mein normales x ,denn dort bekomme ich auch alle 2-3 Monate Updates ohne Android one.

 

[THWS]

Alles zum Verbindungsproblem unter Android Oreo 8.1 mit dem 2.2.0er Update bitte hier rein: Verbindungsprobleme von Apps unter aktuellem Oreo-Update - Fehler- bzw. Detailsammlung

 

[Handyfan36]

@spyro2008
Ich bin da eher von BQ enttäuscht, nicht von Android One. Google kann nix dafür, dass sich BQ nicht an die Vorgaben hält.
Ich wollte mir eigentlich das X2 Pro als Nachfolger für mein X pro holen, aber durch die leeren Update Versprechen und einen viel zu hohen SAR-Wert (bestätigt von der Connect in der aktuellen Ausgabe) werde ich mich anderweitig umschauen. Schade, BQ!

 

[Vargson]

@BQSupport

Auch wenn es zunächst Offtopic erscheint (Bezug zu den Updates folgt) und eher in die strategische Richtung geht: Aber wieso bedarf es so vieler unterschiedlicher Geräte? Welchen Sinn hat es, so viele verschiedene Low-Budget Geräte auf dem Markt zu haben, die sich kaum nennenswert voneinander unterscheiden? V, V-Plus, VS, VS-Plus, U, U-Lite, U-Plus, U2, U2-Lite? Zumal die Plus Variante ja nicht mal größer, sondern nur ein wenig anders ausgestattet ist. Ich glaube, es würde euch und euren Kunden gut tun, wenn ihr euch auf 1 Gerät pro Klasse beschränken würdet und maximal 2 in der oberen Mittelklasse bzw. eurer Oberklasse.

U => Einsteiger
V => untere Mittelklasse
X / X Pro => (Obere) Mittelklasse

Langfristig vlt. nicht mal mehr das X Pro oder ihr macht aus dem X Pro ein Z und habt dadurch eine echte Obere Mittelklasse/Oberklasse und das X bleibt dann eben in der Mittelklasse. Dadurch habt ihr weniger unterschiedliche Geräte, weniger unterschiedliche Treiber und Hardware und somit weniger Aufwand in der Produktpflege.

Was ich auch begrüßen würde, wäre, wenn ihr zurück zu einem 2 Monats-Rythmus kehrt und somit alle 2 Monate Sicherheitspatches bringt und eben versucht, alle 2 Monate eine Feature-Update zu bringen und maximal alle 4 Monate eines veröffentlicht. Ich denke, alle 2 Monate ein garantiertes Sicherheitspatch würde viele zufriedenstellen und sollte für euch machbar sein. Dass man dann ggf. 4 Monate auf ein Feature-Update warten muss, ist geschenkt. Dadurch habt ihr auch die Möglichkeit, die Qualität eurer Updates zu erhöhen, da sich denke ich kaum jemand groß beschweren wird, wenn er mal 4 Monate auf neue Funktionen/Verbesserungen warten muss, wenn es zumindest garantiert alle 2 Monate Updates gibt. Schwerwiegende Bugs sollten natürlich so schnell wie möglich behoben werden!

Eigentlich sollte die Anzahl eurer Geräte gar kein Thema sein in diesem Thread, aber gefühlt ist es so, dass, seit ihr den Markt mit mittlerweile 9 Geräten der unteren Mittelklasse abdeckt, die Qualität und auch die Zuverlässigkeit der Updates abgenommen hat.Ich kann mich nicht an solche fehlerhaften Updates zu Zeiten des X5 Plus erinnern. Das fing alles erst mit der U-Reihe, V-Reihe und der X-Reihe an. Ab da an waren es nur noch alle 3 Monate, manchmal sogar 4 Monate und ab da an, gab es immer mal wieder vereinzelt größere Probleme nach den Updates.

Als europäisches Unternehmen solltet ihr euch gerade beim Verhalten bei Updates von der Konkurrenz abheben. Für die Umwelt wäre es vlt. sogar sinnvoll nur noch alle 2 Jahre ein Gerät zu veröffentlichen... Schön wäre auch die Möglichkeit, wenn man sich optional bei Geräten der oberen Mittelklasse 1 weiteres Jahr Sicherheitsupdates dazu kaufen könnte, statt zu einem neuen Geräte zu wechseln. Aber das hier ist dann doch etwas zu sehr Offtopic.

Edit: Viele Tippfehler korrigiert. Per Smartphone lassen sich solche Beiträge eben nicht so einfach verfassen.

 

[Multiple_P]

Mir wäre ja wichtiger, dass Updates möglichst keine neuen Fehler bringen. Updates haben ja auf einem funktionierendem System keinen Eigenwert. Ich brauche kein Update, weil da ein neues Datum drin steht.

 

[Morphi]

Es geht nicht ums Datum, es geht um die SICHERHEITsupdates, die die LÜCKEN schließen
Ist doch bissl was anderes

 

[BQSupport]

Hallo @Vargson,

danke für dein sehr ausführliches Feedback. Wir geben es direkt an unsere Entwicklung weiter

und melden uns, sobald wir eine Rückmeldung haben

Viele Grüße und ein schönes Wochenende

 

[Multiple_P]

Es geht nicht ums Datum, es geht um die SICHERHEITsupdates, die die LÜCKEN schließen
Ist doch bissl was anderes

Ja, es scheint mir nur für den Laien nicht abschätzbar, wie engmaschig solche Sicherheitsupdates sinnvollerweise erfolgen müssen, um Sicherheit zu gewähren.
Die Forderung nach häufigen Sicherheitsupates mag verständlich sein, damit ggf. enststehende Lücken zeitnah geschlossen werden. Aber Pseudo-Updates, die im Grunde nichts machen, außer eine zeitnahe Update-Versorgung zu suggerieren, hinterlassen eben auch nur eine Pseudo-Sicherheit. Ein Update, dass neue Fehler aufreißt, kann ebenso auch neue Sicherheitslücken generieren. Ein "ausgereiftes" Update, dass dann auch tatsächlich zuverlässig Sicherheitslücken schliesst, aber ggf. seltener aufschlägt kann also qualitativ besser sein. Ich weiß nicht, wieviele Handynutzer von der Aussnutzung etwaiger Sicherheitslücken betroffen waren (ich war es noch nicht), mir scheint das aber nicht unbedingt ein Massenphenomen zu sein.
Die hier im Forum zu beobachtende Update-Sucht scheint mir jedenfalls nicht allein von dem Wunsch nach mehr Sicherheit getrieben zu sein.
Wenn ich von neuen Fehlern durch Updates betroffen bin, lässt das jedenfalls bei mir nicht den Wunsch aufkommen, ständig damit konfrontiert zu werden.

 

[fes]

Ich muss auch sagen, dass ich von bq's Update-Strategie etwas enttäuscht war. Ich hatte mir damals das bq M5 geholt und mich von "5 Jahren Garantie" etwas blenden lassen (naiverweise nahm ich an, dass würde "5 Jahre Sicherheitsupdates" bedeuten). Das M5 ist immer noch (sicherheitstechnisch) auf dem Stand von Januar 2018, da ist bq inzwischen 7 Monate hinterher...

Auch ist der "Versuch" alle 2-3 Monate Updates zu bringen für mich nicht mehr akzeptabel. Im Moment warte ich noch ab, Stand derzeit wird mein nächstes Handy kein bq mehr sein - was eigentlich schade ist, denn die Hardware selbst funktioniert bei mir gut.

Ein "ausgereiftes" Update, dass dann auch tatsächlich zuverlässig Sicherheitslücken schliesst, aber ggf. seltener aufschlägt kann also qualitativ besser sein. Ich weiß nicht, wieviele Handynutzer von der Aussnutzung etwaiger Sicherheitslücken betroffen waren (ich war es noch nicht), mir scheint das aber nicht unbedingt ein Massenphenomen zu sein.

Ich habe keine wirkliche Expertise im Bereich Android/BSP/Smartphone, aber normalerweise hilft eine längere Testphase bei Sicherheitslücken gar nicht. Die Lücken werden normalerweise von Google (Project Zero etc), der Kernel-Community und den Treiber-Entwicklern der Chip-Hersteller (z.B. Qualcomm) gefunden und dann behoben. Im Falle eines Treiber-Bugs wandert der dann in den Hersteller-Treiber und dann ggf. weiter zum SoC-Hersteller (board support package). "Testen" kann man da relativ wenig, dazu muss man entweder den Code anschauen oder Exploits erstellen. Beides wurde aber schon vom Entwickler gemacht und erfordert Expertise, die ich bei bq in dem Maße nicht gesehen habe (Disclaimer: Ich schaue mir nur ab und an die öffentlichen github-Repos an).

Was getestet werden muss, sind ggf. Feature-Updates oder aktualisierte Treiber, die Probleme mit einem bq-Handy verursachen können (z.B. Notwendigkeit angepasster "Profile" für bq-Hardware, um Überhitzung oder Drosselung einzelner Komponenten zu vermeiden).

 

[melnik]

Hallo @Vargson

wir haben kein festes Termin wann die Updates gemacht werden, wir versuchen diese immer so schnell wie möglich und auch so fein wie es geht. Damit die Geräte immer besser werden. Das "versuchen" kannst du auch so sehen "wir arbeiten ständig dran bessere Updates zu machen damit unsere Kunden ein funktionsfähiges Gerät haben".

Natürlich kann es Bug geben aber die werden auch von unsere Entwickler gelöst.

Viele Grüße

Ne, ich habe ein paar jahre in einer Softwarefirma für Banking/Brokeragesoftware gearbeitet, im 2nd. Level Support, hätte ich den Rechenzentren nicht genaue Zeiten für ein Release, Update nennen können hätte ich nicht innerhalb einr Stunde nach einem Problem eine qualifizierte Antwort geben können, wäre die Hölle los gewesen. Ich fordere nicht von einem Hersteller von Konsumergeräten die gleichen Reaktionszeiten, aber eine schlüssige und präzise Informationspolitik, "so schnell wie möglich und auch so fein wie es geht" ist weder schlüssig noch präzise, das ist wischiwaschi.

 

[Vargson]

Bq ist übrigens der einzige Android One Anbieter, der nicht jeden Monat ein Update bringt. Ergo ist es für mich kein Android One Gerät.

 

[BQSupport]

@Vargson
Hallo,

wir geben unser Bestes, um die Geräte immer so schnell wie möglich zu aktualisieren.

Schönen Gruss

 

[Vargson]

Ich brauche nicht unbedingt als erster die neueste Android-Version, davon ist beim Android-One auch keine Rede mehr.

Obwohl Google die zwei Jahre Minimum und die OS-Upgrade-Garantie von der Webseite entfernt hat, wird dennoch klar das monatliche Sicherheitspatch kommuniziert. Genau das gibt es beim X2 als einziges Android One Smartphone auf dem Markt nicht.

Wie gesagt, lasst euch bei Pie Zeit, aber bringt doch zumindest wie versprochen 2-3 Jahre lang monatlich das Sicherheitsupdate, wie von Google kommuniziert.

 

[DU-DA]

lasst euch bei Pie Zeit

"[...] as well as all qualifying Android One devices, will receive this update by the end of this fall."
Ich würde das als Frist seitens Google verstehen, sodass es in den nächsten 1-2 Monaten bereitgestellt werden muss.

Zum Screenshot:
Auf der US bzw. UK Android-One Seite wird die Angabe bzgl. der monatlichen Updates noch spezifiziert: "[..] Monthly security updates to be supported for at least 3 years after initial phone release."

 

[Verpeilter Neuling]

@DU-DA Natürlich wünscht man sich so lange wie möglich einen bestmöglichen Softwaresupport. Aber bitte deshalb nicht nur den Teil zitieren, der das besagt, was man hören möchte. Die Sternchen geben nämlich einen Zusatzhinweis: "Confirm exact duration of support for phones in your territory with smartphone manufacturer." - oder ins Deutsche übersetzt: "Lassen Sie sich die genaue Dauer des Supports für Telefone in Ihrem Gebiet vom Hersteller des Smartphones bestätigen."
Dieser Zusatz lässt den Herstellern durchaus einiges an Spielraum - auch wenn Google die Sinnhaftigkeit von Android One zumindest im Punkt der Updates ein Stück weit in Frage stellt.

Und für unser Gebiet und das X2 Pro sagt bq eben leider:

Aber hier geht es erstmal um die Sicherheitspatches. Die werden für die Aquaris X2 Pro natürlich auch kommen. Wir versuchen jede 2-3 Monate ein großes Updte zur Verfügung zu stellen.

Damit muss man leben - oder sich eine Alternative suchen. Über die Alternative wird dann aber bitte an passender Stelle und nicht hier im Sicherheitsupdates-Thema diskutiert.

 

[DU-DA]

Nachdem sich herausgestellt hat, dass bq die Anforderungen, die ich an Software-Qualitätssicherung stelle(n würde), nicht zu erfüllen scheint, bin ich bei der Suche nach einem Ersatz über einen interessanten Fakt gestolpert:
Sowohl X Pro als auch X2 sind im "Enterprise Recommended" Programm enthalten.

Somit darf man mind. 3 Jahre Sicherheitsupdates ab Release (mit dem aktuell von bq praktizierten 2-3 Monatsrhythmus) erwarten.
"Sicherheitspatches vom Gerätehersteller werden innerhalb von 90 Tagen übermittelt – garantiert auf drei Jahre."

 

[XShocker22]

Ändert ja erstmal nichts an der Tatsache, dass weder du im Enterprise Recommended Program eingetragen bist bzw. dein Unternehmen, als auch der monatliche Update-Zyklus in keinster Weise davon beeinflusst wird.

Trotzdem nice 2 know.

XShocker22

 

[dacryptor]

Das frage ich doch gern @BQSupport

BQ, stimmt es, dass das Aquaris X Pro im Google Enterprise Recommended Programm gelistet ist?
Wenn ja, seid ihr ja verpflichtet, für das Gerät 3 Jahre lang Sicherheitsupdates bereitzustellen (das heißt: Bis März 2020, da das Gerät im März 2017 vorgestellt wurde!),
und das spätestens alle 90 Tage.

Ich bitte um eine verbindliche Bestätigung (eure Antwort sollte nicht mit "Wir versuchen,..." beginnen)

 

[BQSupport]

Hallo @dacryptor

ja genau. Es gibt hierzu noch eine Pressemitteilung. Sobald wir Neuigkeiten haben werden wir euch diese mitteilen.

Danke