Nästan hälften av alla Android-enheter är fortfarande sårbara för två seriösa webbläsartillgångar.

Omkring 45 procent av Android-enheterna har en webbläsare som är utsatt för två allvarliga säkerhetsproblem, men vissa länder har en betydligt större andel drabbade användare än andra, enligt data från mobil säkerhet fast utkik.

De två säkerhetsfrågorna upptäcktes under den senaste månaden av en säkerhetsforskare som heter Rafay Baloch och beskrivs som en privatkatastrof av andra forskare. De tillåter en angripare att kringgå en kärnsäkerhetsgräns, kallad samma ursprungspolicy (SOP), som finns i alla webbläsare.

SOP hindrar skript från en domän från att interagera med data från en annan domän. Skript som körs på en sida som är värd för domän A borde inte kunna interagera med innehåll som laddas på samma sida från domän B.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Utan det Begränsning kan angripare skapa sidor som laddar Facebook, Gmail eller några andra känsliga webbplatser i en osynlig iframe och sedan lurar användarna på att besöka de här sidorna för att kapabla sina sessioner och läsa deras e-postmeddelanden eller skicka Facebook-meddelanden till exempel.

The SOP bypass-sårbarheter som hittades av Baloch påverkar Android-versioner som är äldre än 4.4, vilket enligt data från Google är installerade på 75 procent av alla Android-enheter som aktivt besöker Google Play Butik. Android 4.4 är inte sårbar eftersom den använder Google Chrome som standardwebbläsare istället för den äldre Android Open Source Project-webbläsaren.

Google har släppt korrigeringar för de två sårbarheterna via AOSP, som utgör basen för den anpassade Android firmware installerad på enheter av tillverkare. Uppgiften faller nu på enhetsleverantörer för att importera dessa korrigeringar och släppa fast programvaruuppdateringar till slutanvändare.

Historien har dock visat att tillgängligheten av Android-firmwareuppdateringar varierar kraftigt bland tillverkare, olika enheter från samma tillverkare och även bland länder, som lokala operatörer spelar också roll i distributionen av uppdateringar över luften.

Detta återspeglas i data om dessa två sårbarheter som samlades in av Lookout från användare av sina mobila säkerhetsprodukter. Totalt sett har cirka 45% av Lookout-användare en utsatt version av AOSP-webbläsaren installerad, "Lookout-anställda Jeremy Linden och Meghan Kelly sa i ett blogginlägg. "Vi tror att användarbasen ger en bra titt på hur Android-användare totalt sett påverkas av sårbarheter som den här."

En ytterligare uppdelning av sårbar enhetsstatistik per land målar en annan bild. Åttioen procent av Lookout-användare i Japan har en sårbar version av AOSP-webbläsaren installerad, jämfört med endast 34 procent av användarna i USA I Spanien är 73 procent av användarna potentiellt drabbade, medan i Storbritannien är 51 procent.

Dessa signifikanta skillnader beror troligen på den lägre genomsnittliga åldern för telefoner i USA och en lägre frekvens för uppdateringar i vissa länder, säger Linden och Kelly.

Medan Lookouts data återspeglar hur fragmenterad Android-ekosystemet är, särskilt när det gäller säkerhetspatchar är det värt att notera att i det här fallet helt enkelt innebär att en sårbar version av AOSP-webbläsaren installeras inte implicit betyder att en telefonanvändare är i fara. Android-användare kan installera och använda Chrome, Firefox eller några andra icke-sårbara webbläsare istället för den förinstallerade AOSP-webbläsaren.