Kann mir jemand bei der Sicherheitseinschätzung von meinem Smartphone helfen?
Firmwareupdates laufen bald aus. Ich würde es aber gerne danach noch 3 oder mehr Jahre nutzen, weil die Performance noch völlig ausreichend ist und mich das ökologische Gewissen plagen würde .
Meine Nutzung
Ausschließlich OpenSource Apps von F-Droid oder IzzyOnDroid + NetGuard zur (Vermeidung unnötiger Verbindungen) auf einem LineageOS (möchte aber auf DivestOS wechseln)
Um Sicherer zu sein würde ich dann auch die Browser löschen und dann nur noch mit dem Laptop browsen. Auf NewPipe (YT App) und K9-Mail könnte ich auch noch verzichten. Nur auf manche Apps die Internet benötigen könnte ich nicht verzichten:
Signal
DeepL
Element
Transportr
Wetter App (Würde mir schwer fallen, könnte ich aber auch verzichten)
AntennaPod (Podcast App für RSS)
OSMAnd
An sensiblen Daten sind bei mir Fotos, Kontakte mit Handynummern und derzeit noch Emails und natürlich die Daten von Signal, Element, Transportr, AntennaPod vorhanden. Da ich die Fotos nicht auf meinem Smartphone brauche, könnte ich aber jedesmal zu Hause angekommen direkt die Fotos an meinen Laptop übertragen. Generell mache ich glücklicherweise wenig Fotos von Menschen.
Damit verbundene Fragen
Wie sicher/unsicher bin ich damit unterwegs?
Von gezielten Angriffen auf mich als Person gehe ich wenig aus.
Vor Regierungen kann ich mich damit vermutlich auch nicht schützen, aber wie sieht es mit Organisationen, Firmen aus die Daten sammeln und verkaufen oder Massen an Leuten erpressen?
Ist dies trotz meiner Vorsichtsmaßnahmen noch ein erhebliches Sicherheitsrisiko?
Vermutlich würde es auch nicht helfen wenn ich statt DivestOS auf Ubuntu Touch wechsele, richtig? die darunterlegende Frimware bleibt ja die gleiche, richtig?
Weniger relavant
Aktuelle Smartphones für die es custom Roms gibt haben dann auch keine Kopfhörerklinke mehr . Dann braucht man ein zweites Gerät für die Musik und in meinem Fall dann braucht das dann auch noch Internet für die Podcasts… das ist doch schrecklich - dann wären es schon zwei Geräte die immer wieder obsolet werden. Das Brax3 wäre dann glaube ich das einzige Smartphone mit Klinke und custom Rom . - Aber hier im Forum hört man auch nichts Gutes über den Anbieter
Nein, reguläre Datensammler hacken eher keine Handys. Aber wenn du da tatsächlich Daten drauf haben solltest die dich erpressbar machen ist es trotzdem keine gute Idee mit angreifbarer Hardware durch die Gegend zu laufen.
Mehr noch: DivestOS hat einen Legacy-Universal-Patcher, der (so habe ich es verstanden) ein paar häufge Firmwarelücken trotz Ende des Herstellersupports versucht irgendwie zu stopfen. Das kann UbuntuTouch nicht.
Firmware Updates machen fast die Hälfte der High- und Critical-Severity-Patches aus.
LineageOS ist weder sicher noch datenschutzfreundlich.
Ob das ein Sicherheitsgewinn ist wage ich anzuzweifeln. Android hat im Gegensatz zu herkömmlichen Desktop Systemen eine gute Sicherheitsarchitektur.
Wenn dir die Sicherheit deiner sensiblen Daten wichtig ist, solltest du dir ein Pixel der 8. Generation holen und GrapheneOS draufspielen. Falls es (aus was für Gründen auch immer) dir absolut zu wider ist, sich ein Pixel mit 7 Jahren Support zu holen, versuche es mit DivestOS.
Habe ich das überlesen, oder hast du etwas wichtiges vergessen zu erwähnen: um welches Smartphone handelt es sich überhaupt?
Musst du selbst wissen. Drei Jahre wären mir deutlich zuviel. Google Pixel 8 oder neuer wäre vielleicht ein Kompromiss für dein Gewissen, da du 7 Jahre ab Verkaufsstart Ruhe hast, was schon ziemlich lange ist, wie ich finde.
Bzgl Brax-Phones und Ubuntu: damit kommst du vom Regen in die Traufe.
Bzgl. DivestOS: ist dein Gerät unterstützt
Verwendest du bisher LineageOS?
Also ich habe schon Dinge erlebt, die schrecklich waren, aber keine Kopfhörerklinke zu haben gehört definitiv nicht dazu. Dafür gibt es Dongle, USB- oder Bluetooth-Kopfhörer.
Ja ich traue meinem Smartphone deshalb auch nicht, weshalb ich auch nicht alles an persönlichen Daten darauf habe und auch zu DivestOS wechseln möchte. Die Eingangsfrage diente deshalb auch ein bisschen der Einschätzung ob ich statt den Umzug auf DivestOS durchzuführen oder ob ich sowieso zu z.B. zu Pixel 8 mit GrapheneOS wechseln „muss“ bzw. mich von Smartphones verabschieden sollte
Ja da hatte ich etwas übertrieben. Ich hatte für einen Moment einen Anflug, von dem „Früher war alles Besser“-Syndrom
Ist es da nicht sinnvoller einfach mit Syncthing oder rsync wenn ich zuhause bin die Fotos in meine lokale Fotosammlung zu übertragen? Ich habe einfach sehr ungerne persönliche Daten im Netz… OK das ist eventuell ein generelles Mistrauen gegenüber Cloudanwendungen, egal wie sicher
Danke!
Erstmal danke an alle die sich beteiligt haben! Ich habe nun einen besseren Eindruck zur Sicherheit der Situation. Sodass ich mich die Tage entscheiden kann, ob gebrauchtes Graphene 8 (da 7 Jahre Support und Graphene), ob Fairphone 5 (da 10 Jahre Support und (bisher leider nur /e/)) mit USB-C - Klinke Konverter/DAC/Dongle oder mein jetziges mit DivestOS und Datensparsammer verwenden oder mal ein paar Monate ohne Smartphone testen ob das heute noch geht/bzw. ob ich das kann.
Fairphone wird dir keine 10 Jahre vollen Support und schon gar keine zeitnahen Updates praktisch bieten. Die Updatezeiträume für volle Sicherheitsupdates waren beim 3er und 4er viel kürzer als offiziell angegeben, die Verzögerungen für Sicherheitsupdates signifikant und von /e/OS würde ich ehrlich gesagt die Finger lassen. Zudem ist die Hardwaresicherheit deutlich schlechter als bei Google, Samsung & Co. Das zeigt deutlich, dass Fairphone beim Thema Sicherheit nicht mithalten kann, was sicher auch mit den geringeren finanziellen Mitteln zu tun hat.
OK danke für die Info, das wusste ich nicht. Das ist natürlich Schade. Das bringt mich dann noch mal mehr in ein Dilemma: Fairphone ist zwar Fair und hat ein paar Recyclingkomponenten und bemühen sich für einen Wandel, ist aber scheinbar weniger sicher als alternativen. Mit einem second Hand Pixel 8, werden zwar keine/kaum neue Resourcen ge-/vernutzt aber es ist es schafft keine Nachfrage für mehr faire/nachhaltige Technik ist mit einem GrapheneOS aber sehr gut was Sicherheit und Privacy angeht - schlimmer noch, ich unterstütze die Praktik, das Leute jedes Jahr das neueste Kaufen obwohl das alte noch super funktioniert
Evtl. off-topic
Leider sieht es derzeit so aus , man wird zwar immer mehr ausgegrenzt, aber für die wichtigsten Dinge gibt es Glücklicherweise noch alternativen - die dann aber oft extra kosten… Ich hoffe das Blatt wendet sich noch. Es heißt doch immer die Bevölkerung ist überaltert, da werden doch sicherlich viele abgehängt, sie bilden aber eine hohe Gruppe (bei den Wahlen)
Der Großteil der Alternativen ist „unsicher“, weil viele Hersteller den Firmware-Support nach wenigen Monaten/Jahren einfach nicht mehr anbieten. Xiaomi, Oppo, Huawei, Motorola,… die haben alle einen relativ kurzen Firmware-Support.
Und ich dachte deshalb hätte man sich bei dem Fairphone 5 für den ‚Qualcomm QCM 6490‘ Chip entschieden, da Qualcomm 15 Jahre Unterstützung dafür bietet… sodass Fairphone das Gerät auch länger unterstützen kann. Wenn es allerdings bei Fairphone an Resourcen mangelt vollen Support über einen langen Zeitraum umzusetzen …
Irgendwo im Fairphone Forum gab es dazu (oder zu einem ähnlichen Fall) ein Statement. Wenn ich mich richtig erinnere, lags am Hersteller (Qualcomm?) weil der nicht lieferte bzw. sich an den Vertrag gehalten hat.
Beim Fairphone 3 und 4 war von vornherein klar, dass die Updatezeiträume für volle Sicherheitsupdates viel kürzer werden als Fairphone angab, da die schon beim Start mit veralteten Chips ausgeliefert wurden. Fairphone war bei der Angabe der Updatezeiträume einfach zu ihren Kunden nicht fair und ist es bis heute nicht.
Das stimmt für das Fairphone 5 einfach nicht: Da gibt es deutlich besseren Support als für die Vorgänger (ja Fairphone liegt einen Monat (September 2024 zurück, das ist bei einem solch kleinem Team aber verkraftbar)
Der Unterschied klingt jetzt nicht so lange, aber da Qualcomm damals normalerweise nur 3 Jahre an Support anbot, heißt das, dass die Fairphones weniger als 2 Jahre Support abbekamen. Wenn man nicht direkt bei Verkaufsstart kauft, endet man sogar mit nur einem Jahr oder das Ding ist schon EOL. Wenn dann von vornherein deutlich längere Supportzeiträume von Fairphone versprochen werden, finde ich das problematisch.
Das muss sich erst mal auf Dauer zeigen. Nach dem Umgang mit dem 3er und 4er würde ich mich da nicht drauf verlassen.
Es ist übrigens nicht nur das ASB-Patchlevel entscheidend, sondern auch die Android-Hauptversion. Wenn das ASB-Level einigermaßen aktuell ist, aber die Android-Version nicht die aktuellste, heißt das, dass man nur die High- und Critical-Severity-Patches als Backport erhält. Die Low- und Medium-Severity Patches gibt es nur direkt, wenn man auf der aktuellsten Androidversion ist, ansonsten erst in einem Schlag mit deutlicher Verzögerungen beim Hauptversionswechsel. Deswegen ist es nicht ganz unwichtig, auch da schnell zu sein. Bei diesen gab es in der Vergangenheit massive Verzögerungen bei Fairphones 3 und 4. Fairphone 3 und 4 sind z.B. laut Homepage noch bei Android 13, lassen also 2 Hauptversionen an Medium-Severity-Sicherheitspatches vermissen, was ungefähr 2 Jahren fehlender Patches entspricht.
Folgender Post von GrapheneOS beschreibt Fairphone recht gut:
Fairphone 5 has horrible privacy and security. It’s missing many current privacy and security patches even if you use an alternate OS. It’s missing basic hardware security features, lacking even any secure element at all. It doesn’t have working disk encryption without setting a very long passphrase, which is a huge failing letting down regular users. The long term support claims have never checked out and therefore neither do the sustainability claims. It’s greenwashing.
Gibt es hierzu Belege/Quellen? Spontan konnt ich nichts dazu finden. Interessant wäre z.B. Qualcomm stellt ein Update bereit und andere (z.B. Fairphone) integrieren sie nicht.
Kommt drauf an was ganz konkret versprochen wurde oder nicht? Supportzeiträume können sich ja auf alles mögliche beziehen. Wenn Qualcomm keine Updates liefert, kann man keine herbei zaubern.
Erfahrungsgemäß kann man bei solchen Posts für gewöhnlich auch immer einen x-belibigen Hersteller oder ein x-beliebiges Projekt einsetzen. Die sind natürlich immer von Haus aus alle grottenschlecht und selbstverständlich kann keines dieser Projekte und Geräte jemals den perfekten Pixel-Geräten das Wasser reichen
Mal ganz davon abgesehen, dass für mich persönlich Firmwareupdates in der Praxis keine Rolle spielen, finde ich die Fairphone Geräte an sich eine richtig gute Sache und ein schöner Kompromiss zwischen mehreren Punkten. Das nichts wirklich für jeden perfekt ist, sieht man ja auch an den Pixel-Geräten
.
. Dann braucht man ein zweites Gerät für die Musik und in meinem Fall dann braucht das dann auch noch Internet für die Podcasts… das ist doch schrecklich - dann wären es schon zwei Geräte die immer wieder obsolet werden. Das Brax3 wäre dann glaube ich das einzige Smartphone mit Klinke und custom Rom 
. - Aber hier im Forum hört man auch nichts Gutes über den Anbieter 
