▲行車必備▲

Android智慧手機廠不只發佈安全補件給終端用戶的動作慢一拍，他們還會假借區別各家特色之名，塞一堆有bug的軟體在自家手機內。

北卡羅萊納州大學電腦科學系新研究指出，欲打造自家特色Android手機的廠商，往往很不必要地在手機內預載一些app，又似乎不會隨時間改善。

研究員針對Google、HTC、Samsung、 LG和 Sony公司，研究其2代內旗艦手機的預載app數量和漏洞問題。

這10款設備分別為Google的 Nexus S 和 Nexus 4、宏達電的Wildfire S 和 One X、三星的Galaxy S2 和 S3、Sony的Xpreia Arc S 和 Xperia SL，以及LG的 Optimus P350 和 P8880。

總體來說，這些設備總共有1548個預載app，但有些透過Android開放碼計畫(AOSP)已經包含在Android內，這些預載app約有82%是手機廠在特製手機時加入。

從資安角度來看，最大的問題就是這些app作法糟糕：研究員指出，全體預載app中，有86%的app要求的Android權限超過真正需求，也就是所謂的「過度特權」，所以手機廠在這一點都表現不佳，就連Google的Nexus S也一樣，在「過度特權」領域排名第2高。

此份脆弱app的分析報告，對於表現最好和最壞的手機給了混合的結果。研究員同時分析了每款設備的脆弱app數量和所占比例。

根據報告，在脆弱app所占比例的項目中，在2012年前問世的手機，宏達電Wildfire S表現最差，2012年後問世的設備中，LG的 Optimus P8880表現最糟糕。然而，Sony的Experia Arc S 和宏達電的One X比例最低，而Google的 Nexus 4表現尤其好。

但若以脆弱app數量來看，又是另一回事。研究員指稱：「宏達電Wildfire S仍然在2012年前的設備中是安全度最低的手機，但三星Galaxy S2也只是少了1個脆弱app而已。」

「在2012年前的設備中，Sony Xperia Arc S 和 Google Nexus S 並駕齊驅，是資安最好的設備。然而，2012年後發布的設備，資安排名卻又大洗牌。三星 Galaxy S3 有40個脆弱app，而LG Optimus P880有 26個，宏達電One X 降至中間排名(15個)，但仍遜於Nexus 4 (3個) 和Sony Xperia SL (8個)。」

事實上，Google若接到Android新資安漏洞的回報，反應相當快速，此點也備受讚揚，但問題在於通訊商和硬體廠只會對一些設備推出修正檔。

研究員發現，手機廠平均大概耗費半年的時間，才會推出這些設備的官方更新。

他們還指出三星S3更新時出現的地區差別待遇，因為2012年9月就提供Android 4.1.1讓英國使用者更新，但美國使用者須等到2013年1月才能更新。(Android 4.1.1是2012年7月推出)