Es geht nicht allein um irgendwelche Google Services. Und nicht bei mir fehlt etwas in der Risikoabschätzung, sondern in deinem eng gesetzten Szenario fehlt jeglicher Bezug und Berücksichtigung der Allgemeinheit und weltweiten User.
EOL Geräte sind eine Gefahr, es sind Massenverichtungswaffen, die jeden bedrohen. je länger diese betrieben werden selbst wenn jemand sagt "nur einmal im Monat". Dein Sicherheitskonzept baut auf Sand und entspricht 1:1 genau dem Flachsinn, der zu Wannacry und NotPetya führte.
Leider ist es so wie Viktor es sagt, daß Smartphones, Tablets und sonstiger Billig-Dreck aus China als Konsumware de facto jedes halbe Jahr neu angeschafft werden müssten. Das ist doch genau das, was der feuchte Traum vieler Hersteller, Telekoms und App Entwickler ist. Das ist aber leider die gleiche Denke, die uns genau so unsichere Infrastrukturen beschert hat.
Für mich unbegreiflich - wenn man schon bei einem der wenigen Hersteller ist, der langfristig über Jahre selbst für seine alte Hardware neue Softwarereleases und Patches rausbringt - man weiterhin stur an seinem EOL Uralt Krempel festhält, nur weil man zu geizig oder mental zu bequem ist, nach zeitgemäßen und sicheren Alternativen zu suchen.
Eigentlich müsste die Politik jedem Hersteller von einem Gerät mit Netzwerkanschluß vorschreiben, daß a) es für mindestens 5 Jahre Sicherheitspatches geben muß inklusive Aufdruck auf der Verpackung "Updates bis TT.MM.YYYY" b) ein Gerät reparierbar sein muß und c) nach EOL des Produktes die Firmware wahlweise Open Source oder der Zugriff auf Bootrom etc. frei zu machen ist für Hacker und Bastler, damit diese als Community diese weiterpflegen und nutzen können. Das wäre nachhaltige, sichere und vernünftige IT Politik. Aber dieses Land schafft es ja noch nicht mal einen Hauptstadtflughafen zu bauen oder träumt gar von "Hackback" (also Hackerangriffen) und sitzt selbst auf Europas schlechtestem Netz.