Több mint 20 000 androidos készülék elemezése alapján a Cambridge-i Egyetem kutatói arra jutottak, hogy azok túlnyomó többségén legalább egy kritikus sérülékenység található. De nem is igazán ez a borzasztó (hiszen ezeket akár a mobilok rootolására is fel lehet használni, például a TowelRoot esetén), hanem az, hogy a hibákat csak a gyártók tudják kijavítani. Illetve csak tudnák. Mivel ezt nem teszik, egy készülékre évente átlagosan 1,26 frissítés jut. Az elmúlt öt évben 11 kritikus hibára derült fény, a TowelRootot például a Cyanogen is javította saját biztonságos telefonján. Pedig van jó példa is: a Google havonta ad ki biztonsági frissítést a Nexus telefonjaihoz, és a Samsung és az LG is törekszik erre. A HTC a mobil szolgáltatókat okolva irreálisnak tartja ezt a frissítési sűrűséget – amiben lehet is valami, a hazai, szolgáltatóktól vásárolt készülékekre rendszeresen csak a kiadott új főverziók érkeznek meg, a későbbi, hibajavításokat és teljesítménybeli optimalizációkat tartalmazó javítások nem. A tanulmány egyébként a valós frissítéseket is felmérte, ebben a Google, LG és a Motorola bőven túlszárnyalja a Samsungot, HTC-t és Asust. A képen a biztonságos (zöld), talán biztonságos (sárga) és nem biztonságos rendszerek számának időbeli változását láthatjuk.
A hibák javítási „teljesítményét” minden gyártónál megállapítják, ez a „FUM” pontszám, amely az androidvulnerabilities.org oldalon is olvasható. Az F az ismert hibáktól való mentességet, az U a frissítési gyakoriságot, az M a még nem javított hibákat jelenti, ezekből számolják a pontszámot. Az elméleti maximum 10, ezt legfeljebb a Chrome kaphatná meg, de az is csak akkor, ha a frissen felfedezett kritikus hibát egy napon belül javítanának, és azt frissítenék is a gépeken. Az Apple gépeiről nincs információ, de az iOS valószínűleg magasabb pontszámot kapna, mint a listavezető Google Nexusok (5.2). A frissítés sikerességéért a Google, a gyártók, a mobil szolgáltatók és a felhasználók együtt felelősek.