Hallo,

soweit ich sehen kann, gibt es noch keine eigene Diskussion dazu. Da ich mich aktuell wieder nach einem neuen Fon umsehe und Updatesicherheit ein Thema für mich und vielleicht den einen oder anderen hier ist, wäre vielleicht eine Übersicht ganz praktisch?
In Anbetracht der Menge an Herstellern erhebe ich keinen Anspruch auf Vollständigkeit ;)
Ebenso gibt die absolute Dauer der Updateversorgung noch nicht an, wie schnell diese Updates erfolgen. Sicherheitsupdates können monatlich erscheinen, oder auch deutlich seltener.

1. iOS/Apple

Soweit ich weiß gibt es keine konkrete Aussage, aber das aktuelle iOS 15 ist kompatibel mit dem iPhone 6s aus 2015.

2. Android (diverse)

Google (Pixel)
Pixel 6: "mindestens" 3 Jahre OS, 5 Jahre Sicherheit
Ältere Pixel: "mindestens" 3 Jahre OS+Sicherheit

Samsung
aktuell bis zu 4 Jahre OS + 5 Jahre Sicherheit für bestimmte Modelle, siehe z.B.
hier (https://www.rprna.com/updates/samsung-new-software-update-policy-update-2/).
Allgemein bekommen die Flagship-Modelle länger und schneller Updates, aber auch einige der "kleineren" Modelle sollte davon profitieren. Leider muss man hier wohl für jedes Fon individuell recherchieren.

Xiaomi
3 Jahre OS + 4 Jahre Sicherheit auf bestimmte Modelle (Stand Ende 2021)
Auch hier muss wohl wieder individuell recherchiert werden.

Sony
2 Jahre OS + 3 Jahre Sicherheit

Asus
Zenfone: 2 "major OS updates", Sicherheit unbekannt

OnePlus
3 "major OS updates" + 4 Jahre Sicherheit
evtl. auf bestimmte Modelle beschränkt

Nokia
Smartphones aus dem Android One Programm sollten 2 Jahre OS + 3 Jahre Sicherheit bekommen. Üblicherweise nimmt die Frequenz der Updates mit dem Alter der Telefone aber ab.

Gigaset
2-3 Jahre, gelegentliche OS Updates aber offenbar vorwiegend Sicherheitsupdates

Fairphone
Unter dem Ziel der Nachhaltigkeit soll das Fairphone nicht nur reparierbar sein, sondern bekommt eine bis zu 5(!)-jährige Garantie, sowie möglichst lange Updates.
Die genaue Länge des Update-Zyklus ist aber leider unklar, da sie zugegeben, dass sie auch auf die Treiber der Hersteller des SoC angewiesen sind. Generell sollen auf jeden Fall 3, angepeilt 5+ Jahre Software-Support kommen. Wenn es Treiber gibt, wollen sie auch mindestens mal 3-4 "major" OS-Updates liefern, ansonsten wohl wenigstens 2.

Mein Huawei P30 bekam vor wenigen Wochen ein Update auf EMUI 12. Ist immer noch Android 10, Sicherheits-Patch ist auf dem Stand von Februar 2022.
Bei meinem alten Huawei P20 lite sieht es wie folgt aus: Android 9, Sicherheits-Patch vom Januar 2022

Wie die Update-Politik von Huawei allgemein aussieht, weiß ich nicht

Bei Apple kann man immer von 6 Jahren ausgehen.

Tja, ich bin ja neu auf dem mobilen Sektor, hab ein Asus Tegra 3 Tablet von 2012 und ein iPhone 5s von 2013 vererbt bekommen. Während auf dem iPhone immerhin noch iOS 12 drauf ist und jenes auch noch Updates und Patches bekommt, kann man das auf dem Android Tablet natürlich vergessen. Ich hab einiges versucht aber mehr als Android 4.2.1 will da ums verrecken nicht drauf. Man kann neuere Versionen nicht mal drauf prügeln mit allen fiesen Tricks. Entsprecendes gilt dann natürlich auh für die Apps. Ich bin ja froh dass ich noch Opera drauf bekam, ne Version von 2019, aber immerhin, es läuft, ich schreibe gerade diesen Beitrag auf dem Tablet.
Aber ich als Laie auf dem Gebiet verstehe diese restriktive Update Politik bei Android nicht. Ist das technish wirklich unmöglich dort Langzeitsupport zu bieten? Sogar Windows bekommt das hin, vielleicht bin ich daher zu verwöhnt. Aber ich gehöre auch nicht zu der offenbar großen Gruppe von Leuten, die sich jedes Jahr ein neues Gerät kaufen und denen so die Updateproblematik egal sein kann.

Etwas verkürzt: Was lang hält bringt kein Geld.

Das Geschäftsmodell der Android-Smartphonehersteller sieht vor, möglichst viele Geräte zu verkaufen (evtl. unterfüttert durch diverse Datenabgriffe zu Marketingzwecken), auch in den Marktsegmenten in denen der Gewinn pro Gerät eher klein sein dürfte. Da aber Android spezifisch auf jedes Smartphonemodell angepasst werden muss und jedes Jahr neue (und oft relativ günstige) Modelle mit zahlreichen unterschiedlichen Hardwarekonfigurationen veröffentlicht werden, lohnt es sich finanziell nicht, die lange zu supporten.


Apples Geschäftsmodell unterscheidet sich hingegen ein wenig. Zum einen entwickeln sie OS und SoC der iPhones selbst, zum anderen bringen sie weniger Modelle deren Innenleben auch sehr ähnlich ist (13er haben alle den A15 Bionic Soc, die 12er alle den A14 Bionic SoC, Kameramodule ähneln sich weitestgehend, etc.).
Da auch der Preis generell höher ist, kann man sich einen längeren Support somit wohl gut leisten.

Apple verdient sich über den Appstore und Zubehör auch eine goldene Nase

Stimmt, sollte man nicht unerwähnt lassen...

Etwas verkürzt: Was lang hält bringt kein Geld.

Das Geschäftsmodell der Android-Smartphonehersteller sieht vor, möglichst viele Geräte zu verkaufen (evtl. unterfüttert durch diverse Datenabgriffe zu Marketingzwecken), auch in den Marktsegmenten in denen der Gewinn pro Gerät eher klein sein dürfte. Da aber Android spezifisch auf jedes Smartphonemodell angepasst werden muss und jedes Jahr neue (und oft relativ günstige) Modelle mit zahlreichen unterschiedlichen Hardwarekonfigurationen veröffentlicht werden, lohnt es sich finanziell nicht, die lange zu supporten.


Apples Geschäftsmodell unterscheidet sich hingegen ein wenig. Zum einen entwickeln sie OS und SoC der iPhones selbst, zum anderen bringen sie weniger Modelle deren Innenleben auch sehr ähnlich ist (13er haben alle den A15 Bionic Soc, die 12er alle den A14 Bionic SoC, Kameramodule ähneln sich weitestgehend, etc.).
Da auch der Preis generell höher ist, kann man sich einen längeren Support somit wohl gut leisten.

Tja, nachhaltig ist in der Tat was anderes, zumindest bei Android. Bei Apple ist die Hardware an sich ja schon langlebiger und wird auch länger genutzt. Da helfen am Ende wohl auch nur noch EU Gesetze zu längerem Software-Support. Wäre vllt. ne Lösung, Android-Geräte an die Software anzupassen und nicht umgekehrt.

Apple verdient sich über den Appstore und Zubehör auch eine goldene Nase
Google verdient doch auch gut mit ihrem App-Store?

Bei Apple ist die Hardware an sich ja schon langlebiger und wird auch länger genutzt.
Ich würde ja mal behaupten, dass auch ein Androide, der nicht aus dem absoluten Billigsegment kommt heutzutage in der Theorie eine längere Lebensdauer aufweisen dürfte. Mein aktuelles mag angestaubt sein, rennt aber eigentlich noch gut, ist halt nur geraume Zeit aus dem Support raus.
Kann man jetzt evtl. streiten inwiefern das ein echtes Problem ist. Apps werden nach wie vor aktuell gehalten (dank Android One nutzt es eh vorwiegend Google-Apps), aber wenn doch mal eine Sicherheitslücke im OS selbst vorliegt, wird sie halt nicht gepatched.


Google verdient doch auch gut mit ihrem App-Store?
Google macht auch das Android-OS + inzwischen eigene SoCs und entsprechend sieht man bei den Pixel Geräten leichte Tendenzen zu einem Apfelmodell.
Aber Android Geräte sind halt nicht nur von Google.

Google verdient doch auch gut mit ihrem App-Store?

Google ja, doch die Hersteller wohl eher nicht. Zumindest glaube ich kaum, dass Google hier einen jährlichen Anteil des Gewinns durch den Play Store an diese weitergibt. Einige Hersteller haben ja auch eigene App Stores vorinstalliert, Samsung z.B. dieser wird auch benötigt, um gewisse Anwendungen aktuell zu halten. Doch ich schätze der dortige Umsatz wird für die Hersteller stark überschaubar sein.

Kann man jetzt evtl. streiten inwiefern das ein echtes Problem ist. Apps werden nach wie vor aktuell gehalten (dank Android One nutzt es eh vorwiegend Google-Apps), aber wenn doch mal eine Sicherheitslücke im OS selbst vorliegt, wird sie halt nicht gepatched.

Das sollte man schon nicht unterschätzen. Man geht damit ein gewisses Risiko ein, weil zu jeder Uraltlücke irgendwann ein fertiger Exploit existieren wird, der die Kosten für den Angreifer massiv senkt.

Vielleicht findet man das Risiko vertretbar, aber es gibt meiner Meinung nach zu wenige Daten dazu, wie groß oder klein das Risiko wirklich ist. Eventuell ist es auch schwierig dazu verlässliche Daten zu sammeln. So oder so ist es ein Risiko, das mit der Zeit eher größer als kleiner wird, was die ganze Sache auf Dauer immer heikler macht.

In den letzten 10 Jahren habe ich mehr Zeit ungepatchte Android-Smartphones genutzt als gepatchte. Probleme hatte ich dadurch nie. Auch sonst hört man nichts von größeren Angriffswellen. Tatsächlich habe ich mich irgendwann gefragt wie wichtig die Updates tatsächlich sind.
Aber lumines hat schon recht, unterschätzen darf man das auf keinen Fall.

ich sehe das Problem neben den Sicherheitspatches auch in möglichen nicht mehr nutzbaren Apps. Musste mir ein neues Tablet kaufen, weil einiges nicht mehr funktionierte. Allerdings war das alte Tablet nur mit Android 4 ausgerüstet, das neue mit Android 11 ... da hoffe ich mal auf nutzbare Software/App-Updates für die nächsten 4-5 Jahre.

In den letzten 10 Jahren habe ich mehr Zeit ungepatchte Android-Smartphones genutzt als gepatchte. Probleme hatte ich dadurch nie. Auch sonst hört man nichts von größeren Angriffswellen. Tatsächlich habe ich mich irgendwann gefragt wie wichtig die Updates tatsächlich sind.
Aber lumines hat schon recht, unterschätzen darf man das auf keinen Fall.

Nun ja, "Probleme" muss man auch nicht zwangsläufig haben. Viele kompromittierte Systeme machen die meiste Zeit nichts. Dann auf einmal sind sie an einem DDoS beteiligt. Oder loggen deine Passwörter.

Die Sache ist eben die, dass ein Angreifer nichts davon hat, dass du kompromittierte Accounts und Geräte mit einem konkreten Angriff in Verbindung bringen kannst. Dein Smartphone ist ein Asset im Hinblick auf Rechenleistung, Storage, Bandbreite etc., aber es muss nicht 24/7 verfügbar sein. Auch kompromittierte Accounts müssen nicht sofort offensichtlich schädlich genutzt werden, um auf lange Sicht nützlich zu sein. Eventuell werden die Zugangsdaten auch einfach in einem Bundle mit Millionen anderer kompromittierter Zugänge weiterverkauft.

ich sehe das Problem neben den Sicherheitspatches auch in möglichen nicht mehr nutzbaren Apps. Musste mir ein neues Tablet kaufen, weil einiges nicht mehr funktionierte. Allerdings war das alte Tablet nur mit Android 4 ausgerüstet, das neue mit Android 11 ... da hoffe ich mal auf nutzbare Software/App-Updates für die nächsten 4-5 Jahre.

Android-Tablets hinken generell noch einmal Smartphones hinterher. Chrome OS ist in der Hinblick besser, was den direkten Support angeht, aber auch die Android-Umgebung von Chrome OS wird jeweils länger supportet als bei jedem nativen Android-Tablet. Es gibt ja auch Chromebooks mit abnehmbarer Tastatur, die würde ich auch eher einem Android-Tablet vorziehen.

Da Google einige oder viele Funktionen von Android in den PlayStore ausgelagert hat sind OS Updates auch nicht mehr so essentiell oder kritisch wie früher. Aber es gibt generell ein umdenken der Hersteller durch den Umbau von Android auch generell länger Android Hautp-Updates zu liefern.
Vorreiter ist ja Samsung, da es sich anscheinend insgesamt lohnt bzw Mehrkosten überschaubar sind.
Mit ein Grund auf Samsung wieder gewechselt zu haben. Werde immer "fauler" das Smartphone zu wechseln :D

Nun ja, "Probleme" muss man auch nicht zwangsläufig haben. Viele kompromittierte Systeme machen die meiste Zeit nichts. Dann auf einmal sind sie an einem DDoS beteiligt. Oder loggen deine Passwörter.

Die Sache ist eben die, dass ein Angreifer nichts davon hat, dass du kompromittierte Accounts und Geräte mit einem konkreten Angriff in Verbindung bringen kannst. Dein Smartphone ist ein Asset im Hinblick auf Rechenleistung, Storage, Bandbreite etc., aber es muss nicht 24/7 verfügbar sein. Auch kompromittierte Accounts müssen nicht sofort offensichtlich schädlich genutzt werden, um auf lange Sicht nützlich zu sein. Eventuell werden die Zugangsdaten auch einfach in einem Bundle mit Millionen anderer kompromittierter Zugänge weiterverkauft.



Da bin ich voll bei dir. Aber angenommen eine Lücke würde im großen Stil ausgenutzt werden, dann würde so etwas doch früher oder später bekannt werden? Ich kann mich aber an keine derartige Berichterstattung erinnern.

Die meisten Smartphones bewegen sich auch die meiste Zeit hinter einem NAT in privaten Netzen, sowohl im Mobilfunknetz als auch im W-LAN. Dadurch reduziert sich die Angriffsfläche von außen bereits. Die Fläche die bleibt, beispielsweise durch kompromittierte Websites oder Dateien wird durch weiterhin durchgeführte App-Updates in Schach gehalten. Und bis Apps keine Updates mehr erhalten, muss man schon wirklich sehr alte Android Versionen einsetzen. Bis vor kurzem war ich auf Android 9 und hatte keinerlei Probleme mit Apps und deren Updates.

Edit: ich will nicht sagen, dass Android-Updates nicht wichtig wären. Mich wundert es nur, dass bisher große Infektionswellen ausgeblieben sind.

In den letzten 10 Jahren habe ich mehr Zeit ungepatchte Android-Smartphones genutzt als gepatchte. Probleme hatte ich dadurch nie. Auch sonst hört man nichts von größeren Angriffswellen. Tatsächlich habe ich mich irgendwann gefragt wie wichtig die Updates tatsächlich sind.
Aber lumines hat schon recht, unterschätzen darf man das auf keinen Fall.
Es gibt auch noch den Fall "Hersteller liefert Updates, mit denen das Gerät unbrauchbar wird". Schön, wenn man eine neue OS Version bekommt. Weniger schön, wenn das Gerät damit plötzlich super langsam ist (Samsung S5 Mini), der Akku massiv an Laufzeit verliert (irgend ein iPhone), das WLAN nicht mehr aufwacht (Moto Z2 Force) oder das Mikro nicht mehr funktioniert (Carbonmobile).
So gesehen ist "Bootloader freigeben und hoffen" die nettere Variante.

Aber was red ich. Ich persönlich zerstöre in letzter Zeit die Hardware, bevor der Software-Support endet.

OS Updates (so sie ordentlich funktionieren) halten ein Smartphone halt länger frisch, aber zumindest unter Android dürften die Sicherheitsupdates wichtiger sein, da Apps und Zubehör meist keine besonders hohen Ansprüche an das alter der Android-Version stellen.

Wie schon geschrieben glaube ich auch nicht, dass ein Smartphone mit ausbleibenden Sicherheitsupdates automatisch eine tickende Zeitbombe darstellt, jedenfalls wenn man installierte Apps aktuell hält, sich auf den Playstore (oder andere vertrauenswürdige Quellen) beschränkt und "zwielichtige" Seiten/Apps vermeidet.
Und auch mit einem vollständig aktuellen Fon kann man Mist bauen.

Aber man muss halt auch bedenken, dass unsere Smartphones heute meist eine Menge sensibler (Zugangs-)Daten enthalten, so dass eine Kompromittierung potentiell doch sehr schmerzen dürfte (wenn auch eher die anderen, wenn man plötzlich Teil eines Bot-Netzwerks ist :D ), ich würde es also auch nicht zu sehr auf die leichte Schulter nehmen.

Die meisten Smartphones bewegen sich auch die meiste Zeit hinter einem NAT in privaten Netzen, sowohl im Mobilfunknetz als auch im W-LAN. Dadurch reduziert sich die Angriffsfläche von außen bereits.

Wenn dein Betriebssystem selbst Lücken hat, bringt dir das relativ wenig. Solche Lücken befinden sich dann ja häufig in systemnahen Libraries / Parsern oder sogar noch tiefer (Rowhammer etc.). Schon eine modifizierte Schriftart, ein Bild per E-Mail, SMS / MMS oder Instant Messenger kann da ausreichen. Viele Angriffe gegen Android gingen z.B. in der Vergangenheit gegen den Medienserver. Ein schädlich modifiziertes Bild war häufig schon ausreichend, um solche Lücken auszunutzen.

Wenn dein Betriebssystem selbst keine Lücken hätte, dann hättest du Recht, aber das ist unter den Umständen ja nicht mehr der Fall.

Die Fläche die bleibt, beispielsweise durch kompromittierte Websites oder Dateien wird durch weiterhin durchgeführte App-Updates in Schach gehalten. Und bis Apps keine Updates mehr erhalten, muss man schon wirklich sehr alte Android Versionen einsetzen. Bis vor kurzem war ich auf Android 9 und hatte keinerlei Probleme mit Apps und deren Updates.

Apps können aber nicht das Betriebssystem patchen. Alle Apps linken letztendlich gegen eine libc und sind auf die Funktionalität z.B. des Android-Medienservers angewiesen.

Edit: ich will nicht sagen, dass Android-Updates nicht wichtig wären. Mich wundert es nur, dass bisher große Infektionswellen ausgeblieben sind.

Eventuell wird es auch nie große Infektionswellen im Stile von Desktop-Betriebssystemen geben. Veraltete Smartphones sind eben ein statisches Ziel und ein Angreifer muss sich nicht darum sorgen, dass noch Patches nachgeliefert werden, man hat als Angreifer also viel Zeit.

Die Frage ist, lohnt es sich überhaupt Smartphones anzugreifen? Zum Bitcoin-Schlürfen sind sie weniger geeignet denn die hinken was Rechenleistung massiv hinterher. Zudem saugt das den Akku schnell leer. Und ein ausgeschaltetes Handy schlürft gar nichts. Einzig für DDoS-Attacken würden sie taugen. Oder aber jemand ist doof genug und speichert wichtige zugangsdaten drauf.

Die Frage ist, lohnt es sich überhaupt Smartphones anzugreifen? Zum Bitcoin-Schlürfen sind sie weniger geeignet denn die hinken was Rechenleistung massiv hinterher. Zudem saugt das den Akku schnell leer. Und ein ausgeschaltetes Handy schlürft gar nichts. Einzig für DDoS-Attacken würden sie taugen. Oder aber jemand ist doof genug und speichert wichtige zugangsdaten drauf.
Das Smartphone wird mittlerweile sehr häufig als 2. Faktor verlangt (TANs per SMS/App) oder ist direkt das Gerät, mit dem Transaktionen ggü. einem Kreditinstitut angewiesen werden. Und Zugang zum Mailpostfach hat der Kasten auch oft genug.

Für viele Leute ersetzt es schlicht heute schon den PC. Damit lassen sich ausreichend Wege finden, einen Angriff lohnenswert zu machen.

Im Zweifelsfall baut man Ransomware und zockt bspw. Omas ab, die die Fotos von ihren Enkeln gerne wieder betrachten wollen würden.

GPS-Koordinaten, Bewegungsdaten(Anwesenheit) und ggf. Bilder und Videos der häußlichen Innenausstattung können wohl durchaus Dritt"verwerter" finden, wenn man diese Daten auf entsprechenden Plattformen anbietet.

Ansonsten halt Skimming, Account-Klau für erweiterten Betrug ist wohl durchaus relativ einfach zu automatisieren.

Insgesamt scheint aber das Android Ökosystem durch gewisse Kapselung und Abstraktion doch relativ sicher zu sein, dass selbst bei den ständig gepatchten Sicherheitslücken, doch relativ wenig passiert, jedenfalls wenn man Medienberichte oder annekdotisches Erleben zählt.

Oder aber jemand ist doof genug und speichert wichtige zugangsdaten drauf.

Aha, wer seine Geräte nutzt, ist also doof? Das macht die Sache natürlich sehr viel einfacher.

Es ist doch gerade so, dass ein voll supportetes Android- oder iOS-Smartphone um Welten sicherer ist als ein Standard-Desktop-Betriebssystem. Insofern ist daran absolut nichts "doof" ein Smartphone gerade als zentrales Medium zur Authentifizierung bei diversen Diensten zu nutzen. Oder willst du mir erzählen, dass dein Desktop, auf dem du dutzende entweder gar nicht oder schlecht gesandboxte Anwendungen nutzt in irgendeiner Art und Weise sicherer ist? Solange du nicht QubesOS am Desktop nutzt, hinkst du den allermeisten Smartphones sicherheitstechnisch weit hinterher.

Die Probleme fangen ja gerade erst dann an, wenn der Hersteller keine Patches mehr liefert.

Insgesamt scheint aber das Android Ökosystem durch gewisse Kapselung und Abstraktion doch relativ sicher zu sein, dass selbst bei den ständig gepatchten Sicherheitslücken, doch relativ wenig passiert, jedenfalls wenn man Medienberichte oder annekdotisches Erleben zählt.

Das stimmt natürlich auch. Schon alleine die Tatsache, dass Apps nur über relativ eingeschränkte APIs mit dem System kommunizieren können, hilft schon enorm. Dann kommt noch SELinux dazu und dass jede App unter einer eigenen UID läuft.

Man vergleiche das einmal mit dem typischen Desktop: Alle Anwendungen laufen unter der gleichen UID wie der Nutzer selbst und haben entsprechend quasi uneingeschränkten Zugriff auf alle Daten des Nutzers. Das ist praktisch, aber natürlich alles andere als sicher. Oder anders gesagt: Gerade wichtige Zugangsdaten sind auf einem General-Purpose-Desktop-Betriebssystem absolut nicht gut aufgehoben.

Oder aber jemand ist doof genug und speichert wichtige zugangsdaten drauf.
vermutlich ist das SP sogar stärker betroffen als desktops.


sie sind immer on, damit sind klaubare sessions verfügbar. wenn dann noch schlechte bzw. sogar gleiche pw genutzt werden, dann ist das dank schlechterem support einfallstor nr1. das smartphone.


ein pc ist in der regel besser gepatched bei DAUs. SP in der masse eigentlich nicht. insofern stimmt es was du sagst. vermutlich haben wir die nicht, oder schlecht abbrechbaren updates bei windows im hintergrund DAUs zu verdanken. das mag ich so an mint, es informiert lediglich das updates anstehen und welche das sind.


ich bin jetzt dabei meinen onlykey einzurichten. d.h. ich hab meine wichtigen zugangsdaten immer dabei und nie auf dem gerät. 50 stellige pw eingaben übernimmt der key, incl. username und enter:biggrin:

sie sind immer on, damit sind klaubare sessions verfügbar. wenn dann noch schlechte bzw. sogar gleiche pw genutzt werden, dann ist das dank schlechterem support einfallstor nr1. das smartphone.

Gibt es dazu Daten? Also dass Smartphones, die keine Sicherheitspatches vom Hersteller mehr bekommen, tendenziell häufiger für Sicherheitsvorfälle verantwortlich sind als Desktops? Man kann sicher sagen, dass die Angriffsfläche irgendwann größer ist und Exploits leichter verfügbar sind, aber wie gesagt, Daten habe ich dazu noch nie gesehen.

Man sollte auch bedenken, dass bei Smartphones der Hersteller für das Betriebssystem und alle Treiber des Systems Patches liefert, weil es eine Einheit ist. Auf einem Windows-Desktop ist das eher selten der Fall und selbst wenn man ein Notebook benutzt, bedeutet das nicht, dass sich der Hersteller für die Updates aller Komponenten verantwortlich fühlt. Häufig werden gerne Bluetooth, Ethernet, WLAN und teilweise auch Grafikchips mit leicht modifizierten Treibern verwendet, für die der Hersteller des Notebooks seltsamerweise schon kurz nach dem Kauf keine Updates mehr bereitstellt.

Insofern wäre ich da mit pauschalen Aussagen am Desktop eher vorsichtig, wenn man behauptet, dass dort alle Updates einzuspielen einfacher ist. Das Betriebssystem lässt sich sicher einfacher updaten als bei einem Smartphone, aber für Firmware-Blobs gilt das häufig nicht und die sind sehr oft von automatischen Updates ausgenommen.

Wahrscheinlich ist das auch einer der Gründe, warum seit Windows 10 sehr aggressiv eigene, generische Treiber durch das Betriebssystem gepusht werden. Microsoft traut offenbar den OEMs nicht (vermutlich aus guten Gründen) die Firmware und Treiber der verwendeten Komponenten zu updaten.

Das Sicherheitsproblem muss recht hoch sein, Samsung sende Update für Handy ab 2014.

Mein S6edge hat es auch bekommen.
https://stadt-bremerhaven.de/samsung-verteilt-unerwartete-updates-fuer-smartphones-ab-dem-jahr-2014/

Oder man hat da Quellcode von jemand entfernt, der Samsung verklagen könnte oder es bereits tut.