Ja und Nein. Die Geräte hängen ja nicht direkt am Netz, sondern in der Regel hinter einem Router. Auch mit LTE hast du keinen direkten Netzzugang, sondern der Provider setzt dich hinter einen großen Router. Daher sind die Geräte direkt von außen heute nicht mehr angreifbar.
Die beiden größten Einfallstore sind App-Store und Browser. Das muss man jetzt getrennt betrachten:
Der Angriff über den App-Store funktioniert, in dem man eine einfache, aber praktische Funktionalität als kostenlose App bereitstellt und eine Weile pflegt. Im Code der App ist ein ein Stück Schadsoftware platziert, das aber erstmal inaktiv bleibt, bis sich eine gewisse kritische Masse an Nutzern das gezogen haben. Hier ein Beispiel aus der Presse. Das Problem war früher wesentlich größer, da war der Google App-Store quasi "free for all". Mittlerweile haben auch die sehr restriktive Sicherheitsscreenings, aber auch da rutscht natürlich ab und zu was durch. Kommt sowas raus, werden die Apps aber meist zentral ferngelöscht.
Der Angriff über den Browser funktioniert ganz klassisch über Sicherheitslücken. Meist wird das über Werbung eingespielt. Der Werbemarkt funktioniert heute so, dass wenn ein Nutzer eine Website aufruft, im Hintergrund für den Bruchteil einer Sekunde eine Auktion stattfindet. Der Werber mit der höchsten Zahlung darf dir dann die Werbung anzeigen. Problem dabei ist, dass Werbung heutzutage aktive Elemente sind. Früher viel Flash, heute eher JavaScript. Und die Menge ist nicht zu unterschätzen. Hier mal ein paar Zahlen zur Einordnung: Beim Aufruf z.B. von Süddeutsche blockt mein Browser nicht weniger als 16 externe Referenzen weg, bei spiegel.de 13 und bei bild.de 19. Bekomme ich nun so eine manipulierte Werbung angezeigt, so nutzt diese zunächst einen Bug im Browser aus, um Zugriff auf das System zu haben. Dann braucht es ggf. noch einen zweiten Bug, um Root-Rechte auf dem System zu erlangen und los gehts. (In der Praxis brauchts eher eine Kette von Bugs, aber das Prinzip wird denk ich klar).
Und genau hier ist das Problem mit 2-5 Jahre alten Android Versionen. Android ist Open-Source. Jeder kann sich sämtliche Bugfixes aus dem git lutschen. Zusätzlich gibt es CVE-Listen mit bekannten Schwachstellen. Bitte nicht falsch verstehen: Open-Source und CVE sind per se ein Fortschritt gegenüber dem klassichen "Security by Obscurity"! Aber nur, wenn der, der diesen Code nutzt, sich auch darum kümmert. Die Herangehensweise der meisten Android-Gerätehersteller ist aber: "Wir ziehen uns einmal ne Version ausm git, und dann hauen wir das raus und was danach passiert ist uns wurscht". "Qualitäts"-Hersteller wie Samsung liefern dann vielleicht noch ab und zu mal, nach Monaten, ein Update nach. So darf sich Achim z.B. freuen, dass sein Tab S2 aktuell nur 2 Major-Versionen hinten dran ist und nicht auf Release Version 5 hängen geblieben. Das zeitgleich veröffentlichte iPad Mini 4 (beide kamen im September 2015 raus) ist dagegen auf der aktuellen iOS 12.1, ebenso wie mein iPad mini 2 (von 2013).
Um zu verstehen, wie sinnlos diese Update-Politik der Android-Gerätehersteller ist, muss man wissen, dass es heutzutage nur wenige Stunden bis Tage dauert, bis aus einem Patch der entsprechende Exploit reverse-engineered wird (Presseartikel dazu).
Also, ja, wenn man theoretisch nur SkyDemon und sonst nix machen würde, wäre das Risiko vergleichsweise gering. Wenn man aber einmal aus Langeweile irgendwo warten muss und das "Nur-SkyDemon"-Tablet dann doch nutzt, um mal ein paar Nachrichten zu lesen, oder die quengelnde Tochter unbedingt ein paar Spiele-Apps auf dem Tablet installieren will, dann geht das Risiko-Barometer schlagartig nach oben.