Supportende GrapheneOS - - Was dann?

Begonnen von Lonelyrider, 27.03.2023, 12:19

Vorheriges Thema - Nächstes Thema

Lonelyrider

Mit meinem Anliegen möchte ich anknüpfen an den Meinungsaustausch im ,,alten" Kuketz-Forum https://forum.kuketz-blog.de/viewtopic.php?t=9882. Mir geht es nicht darum, diesen wiederzubeleben, sondern vielmehr um die praktischen Auswirkungen. Sie werden mich mit meinem Google Pixel 4a 5 G im November betreffen, wobei ich davon ausgehe, dass es einige Forumsteilnehmer mit älteren Pixel-Modellen bereits hinter sich haben.

Mein erster Gedanke war ,,Dann weichst du eben auf CalyxOS aus, dann kannst du noch voraussichtlich bis Januar 2025 https://calyxos.org/docs/guide/device-support/ von den Sicherheitsvorteilen (Geschlossener Bootloader und Verified Boot) profitieren". Doch die Ausführungen  unter https://grapheneos.org/faq#device-lifetime

ZitatWe provide extended support releases as a stopgap for users to transition to the far more secure current generation devices.
The release tags for these devices have official builds and updates available. These devices meet the stringent privacy and security standards and have substantial upstream and downstream hardening specific to the devices.
Many other devices are supported by GrapheneOS at a source level, and it can be built for them without modifications to the existing GrapheneOS source tree. Device support repositories for the Android Open Source Project can simply be dropped into the source tree, with at most minor modifications within them to support GrapheneOS. In most cases, substantial work beyond that will be needed to bring the support up to the same standards. For most devices, the hardware and firmware will prevent providing a reasonably secure device, regardless of the work put into device support.

haben mich insoweit stutzig gemacht, als ich darin ein ähnliches (möglicherweise gleiches?) Verfahren sehe wie bei CalyxOS https://calyxos.org/news/2022/06/09/software-support-timeline/.
Deshalb wende ich mich mit folgenden Fragen an euch:
1. Verstehe ich es richtig, dass in beiden Fällen der hilfsweisen Supportverlängerung ähnlich oder vielleicht auch gleich vorgegangen wird, nämlich dass abgespeckte Sicherheitsupdates von AndroidOS (hauptsächlich ohne Firmware) vergleichbar mit anderen Custom Roms wie LineageOS angeboten werden mit dem Unterschied, dass sie bei GrapheneOS nicht als Patch Levels dargestellt werden? Deshalb bezeichnet sie Daniel Micay, der Entwickler von GrapheneOS, als Fake Patch Levels im Zusammenhang mit LineageOS, CalyxOS und iode,
2. Wie lange hat der sogenannte ,,extended support release" von GrapheneOS bei den jeweiligen Pixel-Modellen gedauert und wird er über OTA angeboten?

Fjellrev

Zu 1.: Verstehst du richtig, es werden alle Aktualisierungen angeboten, die möglich sind, wie bei anderen ROMs auch. Aber eben z.B. keine für die Firmware, da dafür weiterer Herstellersupport nötig wäre. Deshalb sind es "Fake Patch Levels", ja, schließlich bieten sie kein vollumfängliches Update, und können so auch nicht (fast) alle bekannten Sicherheitlücken schließen. Das ist immer ein Risiko.
2.: Unterschiedlich, soweit Ich weiß wird die aktuellste Android Version für das Gerät mitgeritten, aber keine neueren.
Aktualisierungen werden weiterhin als OTA angeboten.



Lonelyrider

#2
Vielen Dank Fjellrev!
Ja, dann werde ich wohl bis zum bitteren Ende der extended support release bei Graphene OS bleiben.

Jetzt wird mir erst bewusst, was meine Entscheidung für dieses Betriebssystem als das höherwertige in Sachen Sicherheit bedeutet. Vereinfacht ausgedrückt geht man damit ein Bündnis mit dem "Googleteufel" ein. Zuerst kauft man ihm ein mehr oder weniger teures Smartphone ab. Dann begibt man sich in seine Abhängigkeit von voll umfänglichem Support. Nach dessen Ablauf mit einem kurzen Übergang wird einem nahegelegt, sich ein neues Gerät - natürlich von Google - zuzulegen, mit der Folge, dass sich das in 3 bis 5 Jahren wiederholt.
Das ist ein hoher Preis, den man für eine bessere Sicherheit  zu Lasten der Nachhaltigkeit zahlt. 
   

xanthippe

Zitat von: Lonelyrider am 01.04.2023, 07:29
Das ist ein hoher Preis, den man für eine bessere Sicherheit  zu Lasten der Nachhaltigkeit zahlt. 
+1

Tealk

5 Jahre ist doch i.O. für ein Smartphone? Danach ist der Akku eh matsch.

Exciter

Tealk‍ 

Kann, muss aber nicht - mein über 3 Jahre altes OP7T hält immer noch locker nen Tag - kommt halt auch drauf an wie man damit umgeht...
Finde 5 Jahre doch auch mehr als i.O. - wie viel Leute holen sich denn jedes Jahr ein neues Smartphone;)

Fjellrev

"Zum Glück" gibt es diese Abhängigkeit auch bei jeden anderen Gerätehersteller, ohne quelloffener Firmware - und auch dort von Leuten, die das nötige Können haben, etwaige Lücken zu beheben.
Leider ist Google bei Aktualisierungen einer der besten Hersteller. GrapheneOS arbeitet(e) wohl angeblich mit jemanden zusammen, um zukünftig ein eigenes Gerät auf dem Markt zu haben. Eventuell sähe die Situation dort dann "besser" aus, sehr wahrscheinlich ist man aber trotzdem von den Hardwareherstellern, wie Qualcom, etc., zu stark abhängig.

Hätte Ich aus Gründen kein neues gebraucht, wäre Ich bei meinen zwischenzeitlich gekauften "Feature"-Phone geblieben. Bei meinem tatsächlich keine Aktualisierungen, aber auch nur SMS/Tel über 2G möglich. Da beides sowieso unsicher ist, blieb nur der Kommentar, dass man für sichere Kommunikation mit mir verschiedene Messenger (bei mir auf Laptop+PC, dafür dann kein Signal...  ::)) nutzen solle, und für belangloses Tel/SMS ginge.
Zwar muss auch am PC Hardware gewissermaßen unterstützt werden, aber alles in allem sieht für mich dort die Situation besser aus (wobei es auch hier ziemlichen Mist gibt), und viel Angriffsfläche ist entweder nicht vorhanden, oder umgehbar.

Zitat von: Tealk am 01.04.2023, 13:41
5 Jahre ist doch i.O. für ein Smartphone? Danach ist der Akku eh matsch.
Nach 5 Jahren war mein Smartphone matsch, weil der Ladeport kaputt ging. Der Akku hielt noch immer ziemlich gut, Ich hatte aber auch nie eine wirklich hohe Nutzung dessen. Der Systemsupport war schon lange vorbei, und das Akku-Problem gäbe es gar nicht, wenn sie einfach austauschbar wären. Von Standards könnte man auch träumen, nicht dass das wie beim Ladeport läuft, und man keine Ersatzteile kriegt.

5 Jahre sind nicht in Ordnung, wenn Hersteller sich auch an andere Aspekte von Nachhaltigkeit halten würden - und so auch trotzdem noch Geld verdienen könnten.
Mein Geld wäre nun nicht in Googles Tasche geflogen, sondern Ich hätte mir Ersatzteile vom Originalhersteller, sonst Dritten, gekauft, sogar früher als der Ladeport komplett im Eimer war, lange Zeit hatte der "nur" einen nervigen Wackelkontakt. Für Softwarewartung sogar Geld bezahlt (was Ich bei Nitrokey tun würde, wenn Ich noch einen verwenden würde ;)).
Jetzt hat Google mein Geld, Ich keinen 3,5mm Klinkenstecker & Radio, aber dafür modernere Hardware und Aktualisierungen.
Leider nur 5 Jahre, statt 10, für die die Hardware locker reichen würde, wenn der Akku wechselbar ist, oder lange durchhalten würde, aber bei dem Modem...

Tealk

#7
Zitat von: Fjellrev am 01.04.2023, 22:12
Für Softwarewartung sogar Geld bezahlt (was Ich bei Nitrokey tun würde, wenn Ich noch einen verwenden würde  ;) ).
Wo verlangt Nitrokey denn Wartungskosten? Hab ich noch gar nicht gelesen.

Zitat von: Fjellrev am 01.04.2023, 22:12
3,5mm Klinkenstecker
Gut den hab ich in meinem Leben noch nie genutzt; Kopfhörer nutze ich erst seit BT Standard ist^^

Kommt natürlch auf die Verwenung an, das Handy ist bei mir genauso viel in Verwendung wie der PC (geschätzt) und da hab ich festgestellt das nach 5 Jahre die Luft raus ist, sowohl Akku als auch geschwindigkeitstechnisch. Gut Preislich geht der Akku noch 50$ aber wenn man sich den Aufwand anschaut :/
https://de.ifixit.com/Anleitung/Google+Pixel+6+Akku+tauschen/148798

duda

Zitat von: Tealk am 02.04.2023, 09:54
... und da hab ich festgestellt das nach 5 Jahre die Luft raus ist, ...
Soviel zum Thema "Nachhaltigkeit".

Lonelyrider

Da ich den Begriff Nachhaltigkeit hier eingebracht habe, möchte ich kurz erläutern, was ich in diesem Zusammenhang damit meine.
Wenn ich nach Ablauf von 3 von mir aus auch nach 5  Jahren ein Smartphone in den Händen halte, das voll funktionstüchtig ist und mit seinen technischen Gegebenheiten meinen Ansprüchen genügt, möchte ich es selbstverständlich weiter nutzen. Dabei spielt es für mich keine Rolle, ob Bauteile, wie z. B. der Akku, aus welchen Gründen auch immer gehalten haben. Nur eine Nutzung mit eingeschränkter Sicherheit würde mir Probleme bereiten.   

Fjellrev

Da bin Ich voll bei dir, leider gibt es wohl keine Optionen zur Zeit, wo es dieses Problem nicht gibt.
Entweder die Hersteller sind zu faul, oder zu unfähig ordentliche Systeme(/Hardware) zu implementieren, die keinen "massiven" Wartungsaufwand benötigen. Vielleicht ist es auch einfach das Ziel jedes Herstellers, dir immer nur neue Geräte zu verkaufen, und absichtlich die bisherigen verwahrlosen zu lassen. Es hilft sicher dabei, dass so viele Leute sich von jeden Feature oder jeder Änderung zum kauf neuer Geräte verleiten lassen, und die Thematik für die wenigsten eine Rolle spielt.

Bezüglich der Thematik noch: GrapheneOS, und alle anderen alternativen Systemanbieter, die etwas nachdenken, stellen nur nüchtern fest, dass die Systeme nicht länger unterstützt werden. Und irgendwo ist der Teppich über den Boden voller Löcher nur noch eine Illusion eines aktuellen, sicheren Systems. Gäbe es ein Gerät mit besseren, längeren Herstellersupport, würde vermutlich dieses auch unterstützt werden. Nicht unbedingt vom GrapheneOS Team, aber ganz sicher von zumindest anderen, guten Entwicklern.

Zitat von: Tealk am 02.04.2023, 09:54
Wo verlangt Nitrokey denn Wartungskosten?
Nirgendwo, man kann sich jedoch freiwillig dazu entscheiden, siehe auch die Beschreibung dort N.K.-Shop: "Ich spende für Firmware-Aktualisierungen"
Heute sind die Akkus in Handys fest verbaut und verklebt, was Ich mit "unwechselbar" meine, das macht ja den ganzen Aufwand. Das ist unnötig, und einfach nur Gängelei.
Als "starker" Mobiltelefon-Nutzer braucht man natürlich mal neuere, stärkere Hardware, aber eben nicht alle Leute - dann kann man das Gerät auch guten Gewissens an Leute mit niedrigeren Bedürfnissen weitergeben oder verkaufen.
Wobei wir das Thema wirklich ausgliedern sollten, wenn wir das fortführen möchten, es ist schon etwas fehl am Platz. :-X