Żadne oprogramowanie, które instalujesz na jakimkolwiek sprzęcie dowolnej formy, nie jest w 100% bezpieczne, chyba że jesteś autorem lub przeczytałeś cały kod źródłowy, zweryfikowałeś jego bezpieczeństwo i sam go zbudowałeś. Ok, więc to może być coś z uproszczeniem, ale to nie jest faktycznie zbyt daleko w większości przypadków.
Niestandardowe ROMy nie są tu wyjątkiem. Tak, autor ROMu może umieścić w ROMie oprogramowanie szpiegujące, backdoor lub cokolwiek innego, czego chce, jeśli chce go złośliwie wykorzystać. W przypadku ROM AOSP przypuszczam, że możliwości zostały nieco powiększone, ponieważ samo źródło Androida można zmodyfikować, aby zawierało jakiś rodzaj exploita lub oprogramowania szpiegującego.
Warto również zauważyć, że prowadzenie fabrycznej pamięci ROM producenta niekoniecznie jest bezpieczniejszą opcją, jeśli martwisz się o prywatność.
Pytanie „domyślnie jest bezpieczny dla Androida” jest w pewnym sensie pytaniem bez znaczenia. Czy to ma być bezpieczne? Cóż, tak, dane są chronione na poziomie aplikacji, a aplikacje są w trybie piaskownicy. Każdy system operacyjny ma być bezpieczny, ale wszystko to wychodzi z okna, gdy uruchamiasz ROM, który nie jest czystym AOSP. Co więcej, natura kodu polega na tym, że zawiera błędy, a Android nie jest wyjątkiem. Niestandardowe ROM-y i ROM-y producentów mogą mieć absolutnie potencjał wprowadzenia (celowo lub nieumyślnie ) sposobów wykrywania lub kradzieży danych.