Företagssäkerhetslösningsföretaget KryptoWire har identifierat 146 sårbarheter i förinstallerade Android-appar från upp till 27 leverantörer.
Studien, finansierad av USA:s Department of Homeland Security (DHS), avslöjade säkerhetsbrister i en mängd olika enheter, allt från flaggskeppssmarttelefoner till nybörjartelefoner eller lågpristelefoner.
Enligt rapporten kan sårbarheterna tillåta obehöriga användare att ändra systeminställningar, smyginstallera oönskade applikationer och till och med spela in ljud utan användarens samtycke. Jag knullar inte...!
Android-sårbarheter i Samsung, Xiaomi och Asus-telefoner
Rapporten hävdar att leverantörerna inkluderar några av de största och mest välrenommerade globala namnen i teknikvärlden, inklusive Samsung, Asus och Xiaomi.
Men några av dessa leverantörer trycker förutsägbart tillbaka på anklagelserna, med Samsung utfärdar ett uttalande till Wired och säger:
"Vi har snabbt undersökt ansökningarna i fråga och har fastställt att lämpliga skydd redan finns på plats".
Kryptowire håller dock inte med om det uttalandet, med företagets vice vd för produkt, Tom Karygiannis, som säger:
"Samsung-applikationer kan användas av användare i tredjepartsleverantörskedjan för att få tillgång till information utan att avslöja den eller kräva tillstånd".
Han pekade vidare på Android-säkerhetsramverket och sa:
"Den nuvarande utformningen av Android-säkerhetsramverket hindrar inte att det händer idag".
Skadlig programvara på Android är fortfarande ett stort problem trots en mängd åtgärder som Google vidtagit för att utrota problemet på senare tid.
Företaget samlade nyligen stora cybersäkerhetsföretag ESET, Lookout och Zimperium under en organisation som heter App Defense Alliance för att stoppa "Skadliga appar innan de når användarnas enheter".
Men som den senaste studien verkar visa är det en lång väg kvar innan plattformen verkligen är säker.