Jeśli kupię dziś telefon z Androidem i chcę jak najdłużej aktualizować zabezpieczenia, jak mam wybrać telefon? Chcę używać niestandardowych ROM-ów.

17

tło

Sporo programistów oferuje specjalne wersje „długoterminowej pomocy technicznej” (LTS) lub „wersji rozszerzonej pomocy technicznej” (ESR). Produkt instaluje się raz i otrzymuje aktualizacje zabezpieczeń przez okres do dziesięciu lat, bez konieczności aktualizacji do następnej głównej wersji oprogramowania.

Oto kilka przykładów: Możesz zainstalować jedną wersję Firefox ESR, a następnie otrzymywać aktualizacje zabezpieczeń dla wersji przez około rok. Możesz też zainstalować jedną wersję Ubuntu LTS, a następnie otrzymywać aktualizacje zabezpieczeń dla tej wersji przez pięć lat.

Niestety Google nie oferuje specjalnej, długoterminowej wersji wsparcia dla Androida. Poprawki zabezpieczeń są importowane do wersji Androida urządzenia, dopóki Google nie przestanie ich importować. Te łatane wersje Androida są wbudowane w nowe obrazy oprogramowania układowego urządzenia, dopóki producent urządzenia lub konstruktor ROM innej firmy nie przestanie budować nowych obrazów.

(Na przykład wygląda na to, że system Android 6.0.1 „Marshmallow” wciąż otrzymuje poprawki bezpieczeństwa. Najnowsze wersje Androida 6.0.1 to Android-6.0.1_r56 do Androida-6.0.1_r63. Każda z tych ośmiu wersji Androida została wydana tego samego dnia: 1 sierpnia, 16. Każdy z ośmiu został zaprojektowany tak, aby obsługiwać inny zestaw urządzeń Nexus . Twórcy urządzeń mogą wybrać dowolne z ośmiu, a następnie przenieść je na inne urządzenia z Androidem. wygląda na to, że Android 5.1.1 „Lollipop” również może otrzymywać poprawki bezpieczeństwa. Najnowsza wersja to Android-5.1.1_r38, która została wydana 19 lipca '16; może być również znana z kodu kompilacji LMY49M.)

iOS

Apple ma tendencję do obsługi urządzeń iOS przez trzy do pięciu lat od ich pierwszej wersji. (Źródło.) Dostarczają zarówno nowe funkcje (które spowalniają urządzenie, zachęcając w ten sposób do aktualizacji), jak i aktualizacje zabezpieczeń. Chcę jednak urządzenia bardziej otwartego i rozszerzalnego niż urządzenie Apple.

Moje pytanie

Jeśli kupuję dziś telefon z Androidem i chcę otrzymywać aktualizacje zabezpieczeń na jak najwięcej lat, jak powinienem wybrać?

(Miesięczne aktualizacje zabezpieczeń są fajne, ale dziś nie pytam o comiesięczne aktualizacje zabezpieczeń. Moje pytanie nie dotyczy tego, które telefony z Androidem najczęściej otrzymują aktualizacje zabezpieczeń. Zamiast tego chodzi o to, które telefony z Androidem otrzymują aktualizacje zabezpieczeń przez największą liczbę lat) po zakupie - nawet jeśli muszę czekać sześć lub dwanaście miesięcy między aktualizacjami).

Nie polecaj konkretnej marki i modelu telefonu komórkowego i zostaw to w tym miejscu. Taka odpowiedź byłaby przydatna dla czytelników dzisiaj, ale nie dla czytelników, którzy widzą to pytanie za kilka lat. Zamiast tego powiedz mi, jak sam porównać produkty. Jak ważne jest dla mnie wybranie najlepiej sprzedającego się urządzenia? Czy ważne jest, czy kupię telefon średniotonowy (100–200 USD bez umowy), czy telefon wysokiej klasy (600–800 USD bez umowy)? Czy muszę wybierać sprzęt od producentów, którzy wprowadzają sterowniki do jądra systemu Linux , a jeśli tak, to którzy to producenci? Jakie inne kryteria powinienem zastosować, aby dokonać wyboru?

Załóżmy, że jestem skłonny pobrać i zainstalować niestandardowe ROM-y, aby otrzymywać aktualizacje zabezpieczeń, ale nie jestem skłonny do samodzielnego kompilowania.

Wiem, że nie można przewidzieć przyszłości z doskonałą dokładnością. Proszę, postaraj się jak najlepiej.

security custom-roms hardware device-firmware unforgettableidSupportsMonica
źródło
Trudno odpowiedzieć na to pytanie. Prawie wszyscy dostawcy mobilnych systemów operacyjnych nie są po tym, jak dostarczyli klientom najnowsze poprawki bezpieczeństwa, szukają sposobu na wprowadzenie nowego systemu operacyjnego w taki sposób, że wydasz trochę pieniędzy, aby uzyskać nowe funkcje na nowym model urządzenia. Większość dostawców nawet nie przenosi dwóch głównych wersji w górę na starszych urządzeniach (z wyjątkiem Nexusa). To powiedziawszy, istnieje kilka opcji, które mogą być przydatne, platforma Android Blackberry, Samsung Samsung i potencjalnie własne urządzenia Google Nexus. Chcę wiedzieć, jakie są inne opinie.
Polecam rzucić okiem na obsługiwane modele z cyanogenmod. Jest to prawdopodobnie najlepsze, co można uzyskać dzięki długoterminowemu wsparciu, a także zauważysz, że są dostawcy, którzy są silnie wspierani, podczas gdy inni nie.
Steffen Ullrich,
@SteffenUllrich: Jeśli zastanawiam się nad jednym konkretnym urządzeniem, jak mogę stwierdzić, czy CyanogenMod ma większą szansę obsługiwać go przez sześć miesięcy, czy przez pięć lat?
unforgettableidSupportsMonica
1
Interesuje mnie również ta odpowiedź, minimalne badania, które przeprowadziłem, wskazują: a) wsparcie nie jest specyficzne dla wydania systemu operacyjnego, a raczej specyficzne dla urządzenia, ponieważ sprzedawca sprzedaje to urządzenie i dlatego gwarantuje odpowiedzialność b) Google wydaje się być najlepszy historia dostawców urządzeń z linią Nexus, obiecujące aktualizacje przez 18 miesięcy od daty ostatniej sprzedaży urządzenia, choć mają więcej do zrobienia
1
@AndyYan: Oh. Właśnie zajrzałem do sprawy. Nikt nigdy nie był w stanie zrootować BlackBerry Priv, nie mówiąc już o opracowaniu pamięci ROM innej firmy. :(
unforgettableidSupportsMica

Odpowiedzi:

5

Holenderska organizacja konsumencka okresowo testuje smartfony pod kątem aktualizacji: https://www.consumentenbond.nl/acties/updaten/ruim-een-derde-smartphones-heeft-sterk-verouderde-veiligheidsupdate

Lista jest w zasadzie: telefony Google Nexus / Pixel (~ 3 lata), Nokia / HMD Global, ostatni (i ten ..) flagowy rok Samsunga (~ 1,5 roku), w tym roku flagowy Sony Xperia.

(Te telefony miały aktualizację z lutego 2018 r.)

Tymczasem iDevices są aktualizowane przez okres do 5 lat (4 lata + aktualizacje zabezpieczeń do następnego iOS). Dzięki temu są one tańsze z roku na rok przez cały okres użytkowania telefonu. Zapoznaj się z arkuszami „Amortyzacja” i „Źródła” w tym skoroszycie Arkuszy Google .

Henk Poley
źródło
Skoroszyt Arkuszy Google, z którym masz połączenie, jest imponujący. Kto to stworzył?
unforgettableidSupportsMonica
Opublikowałem własny arkusz kalkulacyjny
Henk Poley
Czy stworzyłeś go i zacząłeś go utrzymywać, tylko dlatego, że opublikowałem to pytanie dotyczące wymiany stosów?
unforgettableidSupportsMonica
To mój własny arkusz kalkulacyjny. Stworzyłem go kilka lat temu. Początkowo głównie do śledzenia telefonów z Androidem, aby polecić mojej rodzinie. Potem dodałem iPhone'a i pomyślałem o różnicy kosztów amortyzacji.
Henk Poley
3

Modułowy może oferować oficjalne długoterminowe wsparcie

Nie są jeszcze do końca gotowe telefony modułowe, takie jak dla Project Ara . Należy pamiętać, że harmonogram telefonów modułowych już się zmniejszył o lata, więc nadal traktowałbym daty jako wątpliwe. Ze względu na ich modułowy charakter oczekuje się, że będą nadal wspierani przez długi czas.

Aktualizacja: Projekt Ara został wyeliminowany niedługo po napisaniu tej odpowiedzi. VentureBeat ma historię o Projekcie Ara i trudnościach z telefonami modułowymi .

Nieoficjalne wsparcie

Bez oficjalnego wsparcia próbujesz w zasadzie przewidzieć przyszłość na temat tego, jakie telefony będą miały wystarczająco entuzjastyczną bazę użytkowników do obsługi telefonów. Nie ma prostych kryteriów sprzętowych ani cenowych, których można by użyć do tego celu.

Jeśli chcesz czegoś dzisiaj, polecam urządzenie Nexus. Pomijając gwarantowane aktualizacje, wydaje się, że mają wystarczająco dużo obserwujących w społeczności, że istnieją niestandardowe ROMy dostępne po latach od zakończenia oficjalnej pomocy technicznej. Nie oczekuj jednak, że aktualizacje będą wydawane w odpowiednim czasie, ponieważ ludzie w zasadzie dostarczają je poza czasem wolontariatu. Mam na przykład Galaxy Nexus (maguro), który został wydany w 2011 roku . Najnowsze wydania Maguro Cyanogenmod to:

  1. cm-13,0-20160820
  2. cm-13,0-20160816
  3. cm-12,1-20160719
  4. cm-11-20150626

Byłem zaskoczony widząc aktualizację do 12.x linii w zeszłym miesiącu, ponieważ minęło tak dużo czasu od ostatniej aktualizacji. Skończyło się na powrocie do kompilacji 20150626 w celach programistycznych, ponieważ filmy w wersji 12.x miały problemy, więc pamiętaj też, że niestandardowe ROM-y nie mogą działać magicznie z mniej sprawnym sprzętem.

Posiadanie niezwykłego sprzętu nie zniechęciło zmotywowanych ochotników do dalszego wspierania Galaxy Nexus, który ma niezwykły procesor Texas Instruments. Krążyły pogłoski, że Google zrezygnował z obsługi stosunkowo wcześnie z tego powodu.

Nie musisz sam utrzymywać urządzenia ani płacić komuś za jego utrzymanie.

mattm
źródło
+1, ponieważ jest to przydatna informacja dla innych czytelników. Ale to nie jest dla mnie przydatne. Chcę mieć urządzenie z określonym, nietypowym, wbudowanym komponentem sprzętowym i żadne z urządzeń Nexus nigdy go nie zawierało.
unforgettableidSupportsMonica
Pozwól, że zacytuję jeszcze raz moje pierwotne pytanie.
unforgettableidSupportsMonica
„Proszę nie polecać konkretnej marki i modelu telefonu komórkowego i pozostawić to przy tym. [...] Zamiast tego, proszę, powiedz mi, jak sam porównać produkty. Jak ważne jest dla mnie wybranie najlepiej sprzedającego się urządzenia? Czy ważne jest, czy kupię telefon średniotonowy (100–200 USD bez umowy), czy telefon wysokiej klasy (600– 800 USD bez umowy)? Czy muszę wybrać [telefon z SoC wyprodukowanym przez producentów sprzętu], który dostanie swój sterowniki do jądra Linuksa , a jeśli tak, to którzy to producenci? Jakie inne kryteria powinienem zastosować, aby dokonać wyboru? ”
unforgettableidSupportsMonica
Ponieważ ta odpowiedź jest przydatna dla innych, warto ją zachować. Ale byłoby najlepiej, gdybyś mógł podać informacje, które byłyby dla mnie bardziej przydatne. Wymiana stosów umożliwia opublikowanie dwóch odpowiedzi na jedno pytanie; może mógłbyś dodać drugą odpowiedź, która pomogłaby mi bardziej.
unforgettableidSupportsMonica
Pamiętaj, że Cyanogenmod jest teraz wycofany, a cała obsługa przechodzi do LineageOS. Nie ma możliwości zamiany między dwoma zapisami na całkowitą ponowną instalację bankomatu.
520
3

Inne odpowiedzi wspominają, że dystrybucja na rynku wtórnym może zapewnić aktualizacje zabezpieczeń. Jest to do pewnego stopnia prawdziwe. Zwykle integrują kod niskiego poziomu (zastrzeżone obiekty BLOB) od producenta i te części nie otrzymują aktualizacji po zakończeniu wsparcia ze strony producenta.

To samo dotyczy błędów oprogramowania sprzętowego komponentów. (np. Broadpwn)

postmarketOS próbuje rozwiązać te problemy za pomocą dystrybucji GNU / Linux dla telefonów i oprogramowania układowego typu open source .

Matthias Weiler
źródło
2

Najlepszą opcją byłoby kupienie telefonu Google Nexus. Ponieważ Google jest programistą Androida, telefony Nexus otrzymują najpierw aktualizacje.

Przykładem ich aktualizacji jest łatka Stagefright. Najstarszym telefonem, który otrzymał łatkę bezpieczeństwa, był Nexus 4. Telefon został wydany w 2012 roku i nadal jest aktualizowany. Telefony Nexus, które nie otrzymały aktualizacji od Google, otrzymały ją od zewnętrznych programistów ROM - telefony Google wydają się przyciągać programistów.

W chwili pisania tego tekstu najnowszym telefonem Nexus jest Nexus 6P .

Lista dat zakończenia wsparcia technicznego dla telefonów Google:

  • Nexus 6P wrzesień 2017 r
  • Nexus 5X września 2017 r
  • Nexus 9 października 2016 r
  • Nexus 6 października 2016 r
  • Nexus 5 października 2015 r
  • Nexus 7 (2013) lipiec 2015 r
  • Nexus 4 listopada 2014 r
  • Nexus 10 listopada 2014 r
  • Nexus 7 (2012) czerwiec 2014

Nie gwarantuje się, że łaty bezpieczeństwa zakończą się w tych datach, ale jest bardzo prawdopodobne, że tak się stanie.

( Źródło )

Lista poprawionych luk ujawnionych za pośrednictwem OTA na urządzenia Nexus (stagefright):

  • CVE-2015-3873
  • CVE-2015-3872
  • CVE-2015-3871
  • CVE-2015-3868
  • CVE-2015-3867
  • CVE-2015-3869
  • CVE-2015-3870
  • CVE-2015-3823
  • CVE-2015-6598
  • CVE-2015-6599
  • CVE-2015-6600
  • CVE-2015-3870
  • CVE-2015-6601
  • CVE-2015-3876
  • CVE-2015-6604

( Źródło )

Ciprum
źródło
1
Ta odpowiedź jest przydatna, ponieważ wskazuje, że „telefony Google wydają się atakować programistów”. Ale reszta odpowiedzi jest nieco myląca. Z czasem w libstagefright znaleziono wiele luk w zabezpieczeniach, a twoja odpowiedź nie mówi, czy Nexus 4 otrzymał aktualizację dla jednej, niektórych, czy wszystkich tych luk.
unforgettableidSupportsMonica
@unforgettableid Mam nadzieję, że moja edycja wyjaśnia niektóre rzeczy.
Ciprum,
1
-1. Twój post jest nadal mylący. „Błędy Stagefright” to źle zdefiniowany zestaw luk w zabezpieczeniach, z których nie wszystkie znaleziono w libstagefright. Dostarczenie długiej wypunktowanej listy identyfikatorów CVE wydłuża twoją odpowiedź i tak naprawdę nie wyjaśnia zbyt wiele; możesz po prostu link do listy. Twoja odpowiedź wymaga poprawy. Przeczytaj ponownie swoją odpowiedź, powoli, przynajmniej raz. Popracuj nad gramatyką, klarownością i formatowaniem.
unforgettableidWspiera
1
@unforgettableid Zapytałeś, jaki telefon kupić, a nie jakie exploity zostały znalezione lub załatane. Następnie „twoja odpowiedź nie mówi, czy Nexus 4 ma aktualizację dla jednej, niektórych, czy wszystkich tych luk”. Wymieniłem wszystkie aktualizacje związane z stagefright, które otrzymały urządzenia Nexus (po tym, jak o to poprosiłeś). I nie wspominając, że źródło, które podałem, to oficjalna lista wszystkich aktualizacji bezpieczeństwa Nexusa (jest to podtekst). I chciałbym prosić o wyjaśnienie swojego komentarza na temat tego, w jaki sposób poprawiłbym moją odpowiedź. Przeczytałem to.
Ciprum,
Oprócz błędów gramatycznych (których nie znalazłem, nie jestem native speakerem) nie rozumiem, w jaki sposób nie odpowiada to na pytanie, które telefony najdłużej otrzymują aktualizacje zabezpieczeń.
Ciprum,
1

Jeśli chodzi o zwykłego Androida, producentami, którzy obecnie najbardziej czujnie podchodzą do terminowej aktualizacji systemu operacyjnego swoich najnowszych modeli, są Google we współpracy z Nexusem i Motorola w linii Moto.

Po zakończeniu aktualizacji przez producentów społeczność nadal produkuje niestandardowe ROM dla popularnych modeli. Być może najszerszy zestaw niestandardowych ROM, CyanogenMod (CM) nadal obsługuje stare urządzenia, takie jak Galaxy S2, choć z pewnymi ograniczeniami . Możliwość obsługi starych modeli zależy silnie od wydania kodów źródłowych przez producentów i (z pewnymi wyjątkami) wydaje się, że kody źródłowe urządzeń Snapdragon są wydawane częściej niż kody źródłowe dla urządzeń Exynos.

Lista urządzeń od głównych dostawców obsługiwanych przez najnowszą wersję CM (13) znajduje się tutaj i może dać ci pewne spojrzenie na to, jak urządzenia są obsługiwane przez społeczność w perspektywie długoterminowej.

Łącząc te dwie perspektywy, powiedziałbym, że urządzenia Nexus zapewniają najlepsze krótkoterminowe wsparcie magazynowe. Jednak często można znaleźć flagowe telefony z lepszymi specyfikacjami, które będą miały takie samo długoterminowe wsparcie społeczności. Możesz jednak unikać urządzeń Exynos.

Itamar
źródło
1

Wybierz flagowe urządzenie zamiast urządzenia średniego lub niskiego zasięgu. Flagowce (i niektóre inne popularne modele) zazwyczaj są wspierane przez społeczność przez długi czas. Mam Samsung Galaxy S3 (d2tmo), który pojawił się prawie 4,5 lata temu i nadal jest obsługiwany przez Cyanogenmod. Został wydany z Icecream Sandwich, a teraz zaktualizowany do wersji Marshmallow dzięki CM. Ostatecznie wsparcie społeczności zależy od liczby aktywnych użytkowników.

kp91
źródło
1

Google opublikowało gdzieś oświadczenie, że oficjalnie zapewni wsparcie dla 2 lat dla swoich telefonów Nexus i to jest najlepsze, co możesz uzyskać z zapasów.

Jeśli chcesz rzutować niestandardowymi ROMami. Myślę, że kupienie telefonu z chipsetem od producenta z dobrym doświadczeniem w dostarczaniu sterowników dla ostatnio wydanej wersji Androida to dobry wybór. Qualcomm wciąż dostarcza najnowsze sterowniki jądra dla wszystkich Snapdragon 6xx-8xx dla Androida 6.0, na przykład, które zapewniają społeczności, takie jak fora XDA, tworzenie niestandardowych ROM dla wszystkich telefonów z chipsetem. Wybierz także markę / producenta, który umożliwia odblokowanie bootloadera, np. Sony, Motorola. Zablokowany bootloader ma poważny wpływ na społeczność podczas tworzenia niestandardowych ROM-ów, ponieważ zmusza ich do tworzenia exploitów lub obejść w urządzeniu, co potencjalnie niestabilne w użyciu.

Ale radzę: wybierz najlepszy telefon, który wypełnia większość pola wyboru i żyj nim, aż się zepsuje. Myślę, że Android jest całkiem bezpieczny.

fora
źródło