Si compro un teléfono Android hoy y quiero actualizaciones de seguridad durante el mayor tiempo posible, ¿cómo debo elegir un teléfono? Estoy dispuesto a usar ROM personalizadas.

Antecedentes

Bastantes desarrolladores de software ofrecen ediciones especiales de "soporte a largo plazo" (LTS) o "versión de soporte extendido" (ESR) de sus productos. Instala el producto una vez y obtiene actualizaciones de seguridad por hasta diez años, sin tener que actualizar a la próxima versión principal del software.

Estos son algunos ejemplos: puede instalar una versión de Firefox ESR y luego obtener actualizaciones de seguridad para la versión durante aproximadamente un año. O puede instalar una versión de Ubuntu LTS y luego obtener actualizaciones de seguridad para esa versión durante cinco años.

Desafortunadamente, Google no ofrece una edición especial de soporte a largo plazo de Android. Las correcciones de seguridad se transfieren a la versión de Android de su dispositivo hasta que Google deja de hacerlo. Estas versiones parcheadas de Android se integran en nuevas imágenes de firmware para su dispositivo hasta que el fabricante de su dispositivo o el generador de ROM de terceros dejen de crear nuevas imágenes.

(Por ejemplo, parece que Android 6.0.1 "Marshmallow" aún recibe correcciones de seguridad. Las últimas versiones de Android 6.0.1 son android-6.0.1_r56 a android-6.0.1_r63. Cada una de estas ocho versiones de Android se lanzó el el mismo día: el 1 de agosto de 2016. Cada uno de los ocho fue diseñado para admitir un conjunto diferente de dispositivos Nexus . Los fabricantes de dispositivos pueden elegir cualquiera de los ocho y luego transferirlo a otros dispositivos Android. parece que Android 5.1.1 "Lollipop" también puede estar recibiendo correcciones de seguridad. La última versión es android-5.1.1_r38, que se lanzó el 19 de julio de 2016; también puede ser conocido por el código de compilación LMY49M).

iOS

Apple tiende a admitir dispositivos iOS durante tres a cinco años después de su lanzamiento inicial. (Fuente). Ofrecen nuevas funciones (que ralentizan su dispositivo, lo que lo alienta a actualizar) y actualizaciones de seguridad. Pero quiero un dispositivo que sea más abierto y ampliable que un dispositivo Apple.

Mi pregunta

Si estoy comprando un teléfono celular con Android hoy y quiero obtener actualizaciones de seguridad durante tantos años como sea posible, ¿cómo debo elegir?

(Las actualizaciones de seguridad mensuales son buenas, pero hoy no estoy preguntando acerca de las actualizaciones de seguridad mensuales. Mi pregunta no es sobre qué teléfonos Android obtienen actualizaciones de seguridad con mayor frecuencia. En cambio, se trata de qué teléfonos Android obtienen actualizaciones de seguridad durante la mayor cantidad de años. después de la compra, incluso si debo esperar seis o doce meses entre actualizaciones).

Por favor, no recomiende una marca y modelo específico de teléfono móvil y déjelo así. Tal respuesta sería útil para los lectores de hoy, pero no para los lectores que ven esta pregunta dentro de unos años. En cambio, dígame cómo comparar productos yo mismo. ¿Qué importancia tiene para mí elegir el dispositivo más vendido? ¿Importa si compro un teléfono de gama media (US$100-$200 sin contrato) o uno de gama alta ($600-$800 sin contrato)? ¿Debo elegir hardware de fabricantes que incorporen sus controladores al kernel de Linux y, de ser así, qué fabricantes son estos? ¿Qué otros criterios debo utilizar para hacer mi elección?

Suponga que estoy dispuesto a descargar e instalar ROM personalizadas para obtener actualizaciones de seguridad, pero que no estoy dispuesto a compilar nada por mí mismo.

Sé que no puedes predecir el futuro con perfecta precisión. Por favor, haz tu mejor esfuerzo.

Esa es una pregunta difícil de responder. Casi todos los proveedores de sistemas operativos móviles que existen no buscan proporcionar al cliente las últimas correcciones de seguridad, buscan cómo obtener el nuevo sistema operativo de tal manera que gastará algo de dinero para obtener las nuevas funciones en un nuevo dispositivo modelo. La mayoría de los proveedores ni siquiera actualizan dos versiones principales en dispositivos más antiguos (con la excepción de Nexus). Habiendo dicho eso, hay algunas opciones que pueden ser útiles, la plataforma Android de Blackberry, Knox de Samsung y, potencialmente, los propios dispositivos nexus de Google. Me interesa saber que otras opiniones se presentan.
Recomiendo echar un vistazo a los modelos compatibles con cyanogenmod. Probablemente sea lo mejor que obtiene con el soporte a largo plazo y también notará que hay proveedores que cuentan con un gran soporte, mientras que otros no.
@SteffenUllrich: Si estoy considerando un determinado dispositivo, ¿cómo puedo saber si es más probable que CyanogenMod lo admita durante seis meses o cinco años?
También estoy interesado en esta respuesta, la investigación mínima que he realizado indica: a) el soporte no es específico de la versión del sistema operativo, sino específico del dispositivo, porque el proveedor vende el dispositivo y, por lo tanto, ha garantizado la responsabilidad b) Google parece tener el mejor Historial de seguimiento de los proveedores de dispositivos con la línea Nexus, que promete actualizaciones durante 18 meses después de la última fecha de venta del dispositivo, aunque aún queda mucho por investigar.
@yetdot: ¿Está diciendo que es probable que los dispositivos BlackBerry y Samsung obtengan soporte de seguridad de los creadores de ROM personalizados durante más años que, digamos, los dispositivos LG o Motorola?
@unforgettableid, no de los creadores de rom personalizados, sino de los propios fabricantes de dispositivos, creo. Históricamente, Blackberry estaba muy arriba en la seguridad como su punto de venta, creo que sus nuevas ofertas de dispositivos seguirán planteando la seguridad como su punto positivo principal.
@JonahB: después de que finalicen los 18 meses, las actualizaciones de stock-ROM pueden finalizar. En ese momento, es posible que deba usar ROM personalizadas en su lugar. Dudo mucho que los creadores de ROM personalizados se molesten en respaldar las correcciones de seguridad entre las versiones de Android. Una vez que una versión anterior de Android deja de recibir actualizaciones de seguridad, un generador de ROM personalizado para un determinado dispositivo puede hacer una de dos cosas. Podría portar una versión más nueva de Android al dispositivo, o podría dejar de proporcionar actualizaciones de seguridad para su ROM para ese dispositivo por completo.
Estaba siguiendo tu otra publicación sobre Android 4.1.2, ¿no es cierto que la mayoría de estos problemas desaparecerán si cambias de Android a IOS? Esa plataforma es compatible con todas las preocupaciones relacionadas con la seguridad y los parches que está buscando, porque son los fabricantes del sistema operativo y el hardware. Lo siento, no estoy tratando de desviarlo de la plataforma Android, solo pregunto por qué IOS no es una opción con el tipo de requisitos que tiene en mente.
@unforgettableid: no puede estar seguro de qué dispositivo será compatible durante mucho tiempo, pero puede consultar su historial de versiones para ver qué proveedores y dispositivos tuvieron una buena compatibilidad en el camino. Hay algunos proveedores que, según la cantidad de hardware compatible, parecen ser lo suficientemente abiertos y de uso intensivo para que haya alguien que lo soporte. Y los dispositivos originales de Google también suelen tener un buen soporte a largo plazo, no solo del propio Google.
@yetdot: quiero un dispositivo con cierto componente de hardware incorporado poco común; Apple nunca ha incluido este componente en ningún iPhone, y probablemente nunca lo hará.
A mis ojos, no hay una respuesta a la pregunta tal como está formulada. No hay ningún proveedor que prometa soporte similar a LTS para ningún dispositivo Android. Y a diferencia de mercados anteriores similares, como el ecosistema Linux y BSD de los últimos 25 años, el mercado de Android es muy diferente y (nuevamente, a mi modo de ver) no hay evidencia de lo que constituye un modelo de negocio exitoso. Incluso Cyanogen ha recibido una financiación significativa y puede cambiar en cualquier momento. Otra parte dinámica e impredecible del ecosistema son los transportistas. Imagínese si el éxito de la distribución de Linux estuviera vinculado al éxito del ISP en los últimos 20 años.
Sugeriría reformular la pregunta en torno al último comentario: necesita un dispositivo con un componente de hardware incorporado poco común y desea asegurarse de que el dispositivo que compra ahora será compatible en el futuro. La respuesta puede implicar: aprender a compilar Cyanogenmod y comprender cómo ayudar a mantener y reenviar el puerto del controlador que necesita.
A cualquier dispositivo Nexus o Android One con Snapdragon SoC se le prometen 2 años de soporte oficial y más de 1 de ROM personalizadas, a menos que Google decida bloquear Android repentinamente. Sin embargo, el componente de hardware exótico obstaculiza explícitamente dicho desarrollo: probablemente será propietario y de código cerrado y, por lo tanto, no podrá ser utilizado por ROM personalizadas.
@AndyYan: El componente de hardware incorporado poco común que quiero es compatible con el código del controlador de código abierto que se ha incluido en todos los kernels de Linux y Android durante años. Creo que probablemente seguirán manteniendo el código del controlador para este componente de hardware durante al menos una década o dos.
@unforgettableid ¿Y qué es exactamente? Déjalo claro en OP, para que podamos reducir el círculo de búsqueda inicial.
@AndyYan: Aquí está su respuesta: quiero comprar un dispositivo moderno con un teclado físico incorporado, para reemplazar mi viejo Samsung Galaxy S Relay con Android 4.1.2. La única opción práctica de reemplazo moderno, por ahora, es el BlackBerry Priv. Puede ejecutar Marshmallow. Podría comprar un Priv ahora, si quisiera, pero no quiero firmar un contrato. Creo que esperaré a que el precio de un Priv usado sin contrato baje un poco más. Mientras tanto, puedo ver si se anunciará o no algún dispositivo de la competencia.
@unforgettableid Déjalo. El único fabricante moderno lo suficientemente loco como para seguir produciéndolos es Blackberry, y su enfoque de seguridad significa que nunca obtenemos desarrollo de terceros de sus teléfonos. Yo también soy fanático de los teléfonos QWERTY (aunque me gustan los que se deslizan hacia los lados) así que puedo sentir tu dolor, pero la verdad es que tenemos que dejarlo ir.
@AndyYan: No creo que deba mencionar en mi publicación original que quiero un teclado de hardware. Eso podría traerme respuestas que son útiles solo para mí y no para la mayoría de los demás lectores.
@AndyYan: Oh. Acabo de investigar el asunto. Nadie ha podido ni siquiera rootear el BlackBerry Priv, y mucho menos desarrollar una ROM de terceros para él. :(
@unforgettableid Sí, ese es el problema. El bloqueo es cada vez más común entre los teléfonos que no son Nexus; combina eso con un nicho como QWERTY y no obtienes nada.

Respuestas (7)

La organización de consumidores holandesa vuelve a probar sus teléfonos inteligentes periódicamente para obtener actualizaciones: https://www.consumentenbond.nl/acties/updaten/ruim-een-derde-smartphones-heeft-sterk-verouderde-veiligheidsupdate

La lista es básicamente: los teléfonos Google Nexus/Pixel (~3 años), Nokia / HMD Global, el Samsung insignia del año pasado (y este...) (~1,5 años), el Sony Xperia insignia de este año.

(Estos teléfonos tenían la actualización de febrero de 2018 a partir de marzo)

Mientras tanto, los iDevices se actualizan hasta por 5 años (4 años + actualizaciones de seguridad hasta el próximo iOS). Esto los hace más baratos año tras año durante la vida útil del teléfono. Consulte las hojas de trabajo "Depreciación" y "Fuentes" en este libro de trabajo de Hojas de cálculo de Google .

Ese libro de trabajo de Hojas de cálculo de Google al que se vinculó es impresionante. ¿Quién lo ha creado?
Publiqué mi propia hoja de cálculo
¿Lo creaste y comenzaste a mantenerlo solo porque publiqué esta pregunta de Stack Exchange?
Es mi propia hoja de cálculo. Lo creé hace unos años. Al principio principalmente para rastrear teléfonos Android para recomendar a mi familia. Luego agregué un iPhone y estaba como 😯 sobre la diferencia en el costo de depreciación.

Modular puede ofrecer soporte oficial a largo plazo

No están del todo listos hoy en día los teléfonos modulares, como el del Proyecto Ara . Tenga en cuenta que el cronograma de teléfonos modulares ya se ha retrasado por años, por lo que todavía trataría las fechas como cuestionables. Debido a su naturaleza modular, se espera que continúen siendo compatibles durante mucho tiempo.

Actualización: el Proyecto Ara fue rechazado poco después de que escribí esta respuesta. VentureBeat tiene una historia sobre Project Ara y las dificultades con los teléfonos modulares .

Soporte no oficial

Sin soporte oficial, básicamente está tratando de predecir el futuro sobre qué teléfonos tendrán una base de usuarios lo suficientemente entusiasta como para admitir los teléfonos. No hay criterios simples basados ​​en hardware o precio que pueda usar para hacer esto.

Si quieres algo hoy, te recomendaría un dispositivo Nexus. Dejando a un lado las actualizaciones garantizadas, estas parecen tener suficientes seguidores en la comunidad que hay ROM personalizadas disponibles años después de que finalice el soporte oficial. Sin embargo, no espere que las actualizaciones se publiquen de manera oportuna, porque las personas básicamente están proporcionando esto fuera de su tiempo voluntario. Tengo un Galaxy Nexus (maguro), por ejemplo, que se lanzó en 2011. Los últimos lanzamientos de maguro Cyanogenmod son:

  1. cm-13.0-20160820
  2. cm-13.0-20160816
  3. cm-12.1-20160719
  4. cm-11-20150626

Me sorprendió ver una actualización de la línea 12.x el mes pasado porque había pasado mucho tiempo desde la última actualización. Terminé volviendo a la compilación 20150626 con fines de desarrollo porque el video en 12.x tenía problemas, así que también tenga en cuenta que las ROM personalizadas no pueden funcionar mágicamente con hardware menos capaz.

Tener un hardware inusual no ha disuadido a los voluntarios motivados de continuar brindando soporte al Galaxy Nexus, que tiene un procesador inusual de Texas Instruments. Hubo rumores de que Google abandonó el soporte relativamente temprano debido a esto.

Aparte de mantener el dispositivo usted mismo o pagarle a alguien para que lo haga por usted, tiene que adivinar.

+1, porque esta es información útil para otros lectores. Pero no me sirve. Quiero un dispositivo con cierto componente de hardware incorporado poco común, y ninguno de los dispositivos Nexus ha incluido este componente.
Permítanme citar, de nuevo, de mi pregunta original.
"Por favor, no recomiende una marca y modelo específico de teléfono móvil y déjelo así. [...] En su lugar, dígame cómo comparar productos yo mismo. ¿Qué importancia tiene para mí elegir el dispositivo más vendido? ¿Importa si compro un teléfono de gama media (US$100-$200 sin contrato) o uno de gama alta ($600-$800 sin contrato)? ¿Debo elegir [un teléfono con un SoC hecho por fabricantes de hardware] que obtenga su controladores en el kernel de Linux , y si es así, ¿de qué fabricantes son? ¿Qué otros criterios debo usar para hacer mi elección?"
Debido a que esta respuesta es útil para otros, vale la pena conservarla. Pero sería excelente si pudiera proporcionar información que me sería más útil. Stack Exchange te permite publicar dos respuestas a una pregunta; tal vez podría agregar una segunda respuesta que me ayudaría más.
Tenga en cuenta que Cyanogenmod ahora está descontinuado y todo el soporte se va a LineageOS. No hay forma de cambiar entre los dos excepto para una reinstalación total del cajero automático.

Otras respuestas mencionan que las distribuciones del mercado de accesorios pueden proporcionarle actualizaciones de seguridad. Esto sólo es cierto hasta cierto punto. Por lo general, integran código de bajo nivel (blobs patentados) del fabricante y esas partes no reciben actualizaciones después de que finaliza el soporte del fabricante.

Lo mismo ocurre con los errores de firmware de los componentes de hardware. (por ejemplo, Broadpwn)

postmarketOS intenta resolver esos problemas con una distribución GNU/Linux para teléfonos y firmware de código abierto .

Su mejor opción sería comprar un teléfono Google Nexus. Debido a que Google es el desarrollador de Android, los teléfonos Nexus se actualizan primero.

Ejemplo de sus actualizaciones es el parche Stagefright. El teléfono más antiguo que recibió el parche de seguridad fue el Nexus 4. El teléfono se lanzó en 2012 y aún recibió la actualización. Los teléfonos Nexus que no recibieron la actualización de Google la obtuvieron de desarrolladores de ROM de terceros: los teléfonos de Google parecen atraer a los desarrolladores.

En el momento de escribir este artículo, el último teléfono Nexus es el Nexus 6P .

Lista de fechas de fin de soporte para teléfonos de Google:

  • Nexus 6P septiembre de 2017
  • Nexus 5X Septiembre de 2017
  • 9 de octubre de 2016
  • Nexo 6 ​​de octubre de 2016
  • Nexo 5 de octubre de 2015
  • Nexus 7 (2013) julio de 2015
  • Nexo 4 de noviembre de 2014
  • Nexo 10 de noviembre de 2014
  • Nexus 7 (2012) Junio ​​de 2014

No se garantiza que los parches de seguridad terminen en estas fechas, pero es muy posible que lo hagan.

( Fuente )

Lista de vulnerabilidades parcheadas enviadas a través de OTA a dispositivos Nexus (fightfright):

  • CVE-2015-3873
  • CVE-2015-3872
  • CVE-2015-3871
  • CVE-2015-3868
  • CVE-2015-3867
  • CVE-2015-3869
  • CVE-2015-3870
  • CVE-2015-3823
  • CVE-2015-6598
  • CVE-2015-6599
  • CVE-2015-6600
  • CVE-2015-3870
  • CVE-2015-6601
  • CVE-2015-3876
  • CVE-2015-6604

( Fuente )

Esta respuesta es útil porque señala que "los teléfonos de Google parecen atraer a los desarrolladores". Pero el resto de la respuesta es un poco confuso. Se han encontrado múltiples vulnerabilidades en libstagefright a lo largo del tiempo, y su respuesta no dice si el Nexus 4 recibió una actualización para una, algunas o todas estas vulnerabilidades.
@unforgettableid Espero que mi edición aclare algunas cosas.
-1. Tu publicación sigue siendo confusa. Los "errores de Stagefright" son un conjunto mal definido de vulnerabilidades de seguridad, no todas las cuales se encontraron en libstagefright. Proporcionar una larga lista con viñetas de identificadores CVE alarga su respuesta y realmente no aclara mucho; solo puede vincular a la lista. Su respuesta, en general, necesita mejorar. Lea su respuesta nuevamente, lentamente, al menos una vez. Trabaje en su gramática, claridad y formato.
@unforgettableid Usted preguntó qué tipo de teléfono comprar, no qué vulnerabilidades se encontraron o repararon. Entonces "su respuesta no dice si el Nexus 4 recibió una actualización para una, algunas o todas estas vulnerabilidades". Enumeré todas las actualizaciones relacionadas con el miedo escénico que recibieron los dispositivos Nexus (después de que lo pidieras). Y sin mencionar que la fuente que proporcioné es una lista oficial de todas las actualizaciones de seguridad de Nexus (es un hilo secundario). Y me gustaría pedirle que aclare su comentario sobre cómo mejoraría mi respuesta. Lo he leído.
Además de los errores gramaticales (que no encontré, no soy un hablante nativo), no veo cómo esto no responde a su pregunta sobre qué teléfonos obtienen actualizaciones de seguridad durante más tiempo.
No sabía que no eras hablante nativo. Mi error. He enviado una corrección de estilo sugerida . Pero su respuesta aún es demasiado larga y aún contiene dos listas con viñetas innecesarias. Podría resumir en lugar de enumerar toda la información.

En cuanto a Android stock, los fabricantes que actualmente están más atentos a la actualización oportuna del sistema operativo de sus últimos modelos son Google en sus colaboraciones Nexus y Motorola en su línea Moto.

Después de que los fabricantes finalizan sus actualizaciones, la comunidad continúa produciendo ROM personalizadas para modelos populares. Quizás el conjunto más amplio de roms personalizadas, CyanogenMod (CM) aún es compatible con dispositivos antiguos como el Galaxy S2, aunque con algunas limitaciones . La capacidad de admitir modelos antiguos depende en gran medida de la publicación de los códigos fuente por parte de los fabricantes y (con algunas excepciones) parece que los códigos fuente de los dispositivos Snapdragon se publican con más frecuencia que los códigos fuente de los dispositivos Exynos.

Puede encontrar una lista de dispositivos de los principales proveedores compatibles con la última versión de CM (13) aquí y puede brindarle una perspectiva sobre cómo la comunidad admite dispositivos a largo plazo.

Combinando estas dos perspectivas, diría que los dispositivos Nexus brindan el mejor soporte de acciones a corto plazo. Sin embargo, a menudo puede encontrar teléfonos emblemáticos con mejores especificaciones que tendrán el mismo soporte comunitario a largo plazo. Sin embargo, es posible que desee evitar los dispositivos Exynos.

Elija un dispositivo insignia en lugar de un dispositivo de rango medio o bajo. Los buques insignia (y algunos otros modelos populares) suelen contar con el apoyo de la comunidad durante mucho tiempo. Tengo un Samsung Galaxy S3 (d2tmo) que salió hace casi 4,5 años y todavía es compatible con Cyanogenmod. Se lanzó con Icecream Sandwich y ahora se actualizó a Marshmallow gracias a CM. En última instancia, el apoyo de la comunidad depende de la cantidad de usuarios activos.

Google ha publicado una declaración en alguna parte de que solo brindará soporte oficialmente durante 2 años para sus teléfonos Nexus y eso es lo mejor que puede obtener con stock.

Si estás dispuesto a rodar con roms personalizados. Creo que conseguir un teléfono que tenga un chipset de un fabricante con un buen historial en el suministro de controladores para una versión de Android lanzada recientemente es una buena apuesta. Qualcomm todavía proporciona controladores de kernel recientes para todos los Snapdragon 6xx-8xx para Android 6.0, por ejemplo, lo que proporciona a la comunidad, como los foros de XDA, la creación de roms personalizados para todos los teléfonos con el conjunto de chips. Elija también una marca/fabricante que permita el desbloqueo del gestor de arranque, por ejemplo, Sony, Motorola. El cargador de arranque bloqueado afecta gravemente a la comunidad al crear ROM personalizadas, ya que los obliga a crear exploits o soluciones alternativas en el dispositivo, lo que hace que su uso sea potencialmente inestable.

Pero mi consejo es que simplemente elija el mejor teléfono que llene la mayor parte de su casilla de verificación y viva con él hasta que se rompa. Creo que Android es bastante seguro tal como está.

Si compro un teléfono Android hoy y quiero actualizaciones de seguridad durante el mayor tiempo posible, ¿cómo debo elegir un teléfono? Estoy dispuesto a usar ROM personalizadas.
RespuestasAquíPolítica de privacidad1y, 0v