Un estudio de Universidad de Cambridge encontró que 87% de los dispositivos Android son inseguros. El estudio responsabiliza a los fabricantes de los equipos por la falta de actualizaciones; clasifica a los dispositivos Nexus como los más seguros.

Es fácil ver que el ecosistema Android tiene una política relajada hacia la seguridad, pero un estudio reciente de la Universidad de Cambridge expuso algunas cifras importantes sobre las fallas de seguridad de Android. En conclusión, determina que "en promedio 87.7% de los dispositivos Android están expuestos a una de las 11 vulnerabilidades críticas conocidas, al menos".

Los datos del estudio fueron recolectados a través de una aplicación analizadora de dispositivos, que ha estado disponible de forma gratuita en la Play Store desde mayo de 2011. Una vez que los participantes optaron por contestar la encuesta, la Universidad reunió diariamente información de versiones de Android y números de compilación de más de 20,400 dispositivos. El estudio comparó esta información contra las 13 vulnerabilidades críticas (incluyendo las vulnerabilidades Stagefright) existentes desde 2010. Cada dispositivo fue etiquetado como "seguro" o "inseguro", basado en si la versión del sistema operativo había sido parchado contra estas vulnerabilidades o no; también podía ser clasificado como "tal vez seguro" si habían obtenido una solución especializada para esos errores.

En cuanto a por qué tantos dispositivos Android son inseguros, el estudio encontró que la mayor responsabilidad la tienen los fabricantes. El grupo afirma que "el cuello de botella para la entrega de actualizaciones en el ecosistema Android recae en los fabricantes, quienes fallan en proveer actualizaciones para corregir vulnerabilidades críticas". Junto con el estudio, la Universidad de Cambridge ha lanzado AndroidVulnerabilities.org, un sitio que contiene la información del reporte y calificaciones de los fabricantes basadas en sus registros de seguridad. El grupo calificó a los fabricantes en una escala del 1 al 10 según su seguridad, se le denominó la puntuación FUM. Este algoritmo toma en cuenta el número de días en proporción de los dispositivos que no tienen vulnerabilidades conocidas (Free), la proporción de dispositivos que tienen la última versión de Android (Update) y el número medio de vulnerabilidades no corregidas en cualquier dispositivo que sea vendido (Mean). El estudio encontró que los dispositivos Nexus de Google eran los más seguros, con una puntiación FUM de 5.2. LG fue el siguiente con 4.0, seguido por Motorola, Samsung, Sony y HTC, respectivamente. 

La máxima puntuación de Nexus, 5.2 de 10 posibles, parece un poco baja dado que todos los dispositivos Nexus reciben actualizaciones rápidamente, pero hay algunas teorías de porqué consiguió tan poco puntaje. En primer lugar, la forma en que Google distribuye las actualizaciones para los dispositivos Nexus es extremadamente lenta. Incluso después de que la actualización es desarrollada y lanzada en la página de imágenes de sistema de Nexus, distribuir la actualización a todos vía OTA (Over-the-air-programming, método para distribuir software que utiliza Android) usualmente toma dos semanas enteras. El otro problema es la política de "dos años de actualizaciones" que Google y los fabricantes han intentado implementar, pues no corresponde con la realidad. Un estudio de todos los dispositivos activos incluiría a los viejos y no compatibles, como el Galaxy Nexus.

Una de las cosas extrañas sobre el estudio es su elección de los fabricantes de equipos Android. De acuerdo con IDC Research, los cuatro principales fabricantes de equipos Android en todo el mundo son Samsung, Huawei, Xiami y Lenovo. De estos, sólamente Samsung aparece en las puntuaciones FUM del estudio, el estudio omite tres de los cuatro principales fabricantes de dispositivos Android; la lista sigue hasta fabricantes relativamente desconocidos, como Symphony y Walton. Como la aplicación es distribuida a través de Google Play, los resultados excluyen países sin Google Play, como China.

Con 87 por ciento de los dispositivos marcados como inseguros, el estudio realmente muestra hasta qué punto el ecosistema Android tiene que mejorar para proteger a sus usuarios. Google y algunos fabricantes se han comprometido con un programa mensual de actualizaciones, pero esto es usualmente para dispositivos de menos de dos años (Google recientemente amplió su programa a celulares de 3 años) y solo para dispositivos de alta gama. La gran mayoría de las ventas de Android no son de estos equipos. Hasta que Google rediseñe la arquitectura de Android para soportar actualizaciones centralizadas e independientes del dispositivo, no es clara alguna solución a los problemas de seguridad de Android.