Problèmes de sécurité / confidentialité concernant la ROM Android personnalisée

Quels sont les problèmes de sécurité et de confidentialité liés à l'utilisation d'une ROM Android personnalisée comme celle du cyanogène ?

Je dirais que le plus gros problème avec beaucoup de ROM personnalisées, y compris celles de Cyanogen, c'est que le système d'exploitation et les applications système sont signés avec des clés de test. Ces clés sont accessibles au public, ce qui signifie qu'il est possible pour quelqu'un d'écrire une application qui utilise les autorisations de niveau "signatureOrSystem" ou "signature". Il existe des cas connus de logiciels malveillants qui ciblent ces ROM personnalisées [1,2].

Sur une note plus positive, si vous exécutez un appareil enraciné, vous pouvez faire des choses comme configurer un fichier hôte pour bloquer les publicités, activer un pare-feu par application, désactiver sélectivement les autorisations, etc. Les ROM personnalisées sont souvent livrées avec des noyaux plus récents, donc beaucoup des vulnérabilités de sécurité basées sur le noyau sont traitées plus rapidement que ce que Google peut faire.

[1] http://www.cs.ncsu.edu/faculty/jiang/Fjcon/

[2] http://blog.mylookout.com/blog/2011/06/15/security-alert-malware-found-targeting-custom-roms-jsmshider/

Eh bien, il est open source, vous pouvez donc consulter le code et le créer vous - même si, pour une raison quelconque, vous ne faites pas confiance aux fichiers binaires partagés.

Je crois que les seules données qu'ils collectent proviennent des journaux de plantage et peut-être du nombre d'installations (je ne peux pas trouver de source pour cela si quelqu'un peut m'aider ici).

En dehors de cela, beaucoup de gens l'utilisent car c'est probablement la rom la plus populaire sur le marché. S'il y avait des problèmes de confidentialité, les gens seraient partout.