LineageOS: Android security update vs vendor security patch?

Het hangt in mijn ogen grotendeels af van je 'threat model'. Als huis-, tuin- en keukengebruiker loop je dan wel een risico, maar die is praktisch verwaarloosbaar.

Heb je een hoger dreigingsmodel? Dan is het wellicht een wat serieuzere aangelegenheid en een groter risico. Bijvoorbeeld als je een journalist bent, dissident, activist, etc.

In alle eerlijkheid: ik zou het zelf nooit doen - maar ik heb dan ook een hoger dreigingsprofiel. Enerzijds kunnen kwetsbaarheden in de firmware een flink risico zijn, anderzijds de consessies die LineageOS veelal doet.

Veel LineageOS 'versies' zijn zogenaamde userdebug builds of hebben een zwakkere SELinux policy. Bij onofficial builds staan die soms zelfs op permissive ingesteld... Het 'rooten' van je telefoon is wel een van de meest grote risico's overigens.

Het is wat kort door de bocht: in feite bestaat je telefoon uit twee lagen. De diepe laag is de firmware, wat @Kaalus aangeeft. Een laag hoger, de tweede laag, is Android zelf.

De firmware kan kwetsbaarheden bevatten, die (in een zeer ongelukkig geval) opstand uit te buiten zijn. Dat kan bijvoorbeeld de WiFi firmware zijn of in het modem (baseband SOC / SS7).

Hypothetisch zou je met een flinke kwetsbaarheid veel kwaad kunnen uithalen. Echter, dat zijn in de meeste gevallen targetted attacks die door aanvallers worden uitgevoerd waarbij budget of manpower minder een probleem is (statelijke actoren).

Voor de gemiddelde gebruiker is dat onrealistisch. Dan heeft is het zeker aan te raden om zo snel mogelijk te zorgen dat de firmware up-to-date is, maar is het risico lager (lagere waarschijnlijkheid, meer beperkte impact).