Một trong những lý do khiến Android được coi là hệ điều hành kém an toàn là do quy trình cập nhật phức tạp. Hàng tháng, Google sẽ cung cấp một bản cập nhật vá các lỗ hổng mà kỹ thuật viên của công ty tìm thấy. Bản cập nhật sẽ được gửi trước cho các nhà sản xuất thiết bị để tinh chỉnh và phát hành đến tay người dùng.
Để kiểm tra hiệu quả của các bản cập nhật bảo mật, viện nghiên cứu của Đức, Security Research Lab đã tiến hành thử nghiệm trên 1200 thiết bị Android từ năm 2017. Kết quả cho thấy phần lớn thiết bị thiếu “hàng tá” bản vá lỗi theo thời gian, xuất phát từ thói quen bỏ qua các bản cập nhật nhỏ của người dùng. Nghiêm trọng hơn, các nhà sản xuất đã lợi dụng điều này để thay đổi thời điểm cập nhật cuối cùng trên hệ thống nhưng thực tế thiết bị không được vá những lỗ hổng liên quan. Danh sách được SRL công bố bao gồm nhiều tên tuổi lớn trong ngành công nghiệp smartphone như Google, Motorola, HTC hay ZTE.
Những thiết bị ảnh hưởng không chỉ là những trải từ những thiết bị bình dân tới những mẫu flagship cao cấp. Chỉ duy nhất bộ đôi Pixel 2 và 2 XL của Google ra mắt năm ngoái là được cập nhật đầy đủ. Wired là trang đầu tiên đăng tải thông tin này và lý giải 2 nguyên nhân chính. Hầu hết các trường hợp do nhà sản xuất có thể vô tình quên tích hợp các bản vá. Mặt khác có thể do đặc điểm về phần cứng của từng thiết bị, cụ thể là chip xử lý. Trong đó, số lượng trung bình bản vá bảo mật còn thiếu trên máy dùng chip Mediatek là 9,7 cao hơn nhiều so với máy trang bị chip Qualcomm, chỉ dừng ở mức 1,1.
SRL nhận định việc một số nhà sản xuất hứa hẹn theo đuổi lộ trình cập nhật thường xuyên nhưng không làm là “cố ý lừa dối”. Điều này sẽ ảnh hưởng tới quyền lợi của người dùng và khả năng bảo mật dữ liệu trên thiết bị. Công ty hiện đang phát hành các bản cập nhật cho hệ điều hành Android, Snoopsnitch tuyên bố vẫn luôn theo sát lộ trình áp dụng các bản vá trên thiết bị.
Phía Google cho rằng nghiên cứu của SRL thực hiện trên nhiều mẫu điện thoại chưa được chứng thực có tiêu chuẩn an ninh thấp. Ngoài ra, thiết bị có thể không có tính năng liên quan tới nội dung trong bản cập nhật hoặc tính năng không quan trọng nên các nhà sản xuất thà loại bỏ hẳn nó trên thiết bị còn hơn là mất công tìm kiếm lỗ hổng và khắc phục.
Mặc dù khả năng bảo mật hệ điều hành Android hiện nay đã tốt hơn rất nhiều. Tin tặc cần nhiều hơn sự thiếu sót của một vài bản vá bảo mật để tấn công một thiết bị Android. Nhưng nghiên cứu của SRL là hồi chuông cảnh tỉnh cho các nhà sản xuất về trách nhiệm đối với dữ liệu trên thiết bị của người dùng.