安卓使用第三方 ROM 或是 root 时，如何保证安全？

无法完全排除恶意代码的可能性，只能根据一些标准选择公认信誉良好的。

获取 root 权限的软件：很久之前，有一个社区广泛使用的 root 软件，名为 SuperSU, 使用者众多。2015 年，软件作者 Chainfire 把 SuperSU 打包卖给了一家公司。后来网友扒出来该公司是一家中资背景、身份神秘的空壳公司，于是纷纷弃用 SuperSU, 转投 Magisk. 后来 Magisk 主要作者 topjohnwu 入职谷歌，曾引起社区对 Magisk 命运的担忧，但他后来获准继续维护 Magisk 。

ROM: 现在广泛使用的第三方 ROM, 名为 LineageOS, 很多其他的所谓第三方 ROM 都是在 LineageOS 基础上再做二次开发做出来的。LineageOS 前身为 CyanogenMod, 起始于 2009 年。一加第一代手机 Oneplus One 的官方系统就是跟 Cyanogen 官方使用推出的。这些拥有官方组织的 ROM ，拥有成熟的团队和基础设施，ROM 代码会有多级 review ，整个流程都是公开的，你自己就可以去查看。 至于国内很多个人 ROM 作者，你当然是无法保证他个人会在 ROM 里添加什么东西了。

你从正规应用市场下载的大厂 app ，照样可能存在恶意行为。参考拼多多 /t/920460, /t/929485, /t/927716

本质上就是一个信任范围的问题。

你对国内公司不信任，那国产 Rom 对于你来说就是不安全的。
你对国外公司也不信任，那国外手机的 Rom 对于你来说就也是不安全的。
你对开源项目也不信任，那第三方开源 Rom 对于你来说就也是不安全的。
你对个人开发者也不信任，那第三方个人开发的 Rom 对于你来说就也是不安全的。

最后想要完全的信任，就只能手搓系统自己实现。

所以人要学会取舍，折中和妥协。

引用 sudo 的话,

> (1)尊重他人隐私。
> (2)输入前，再三斟酌。
> (3)能力越大，责任越大。

三方 rom 只选择可以自行 build 的，最起码可以留存代码，
但是 vendor 那些 blob 就没啥办法了

用 XDA 上名气大的开源 ROM 比如 Lineage OS crdroid 等

关于第三方 ROM

一般使用主流的开源 ROM 基本没事，无谷歌的开源 ROM 基本都很少（基本没有）上传隐私数据，隐私性都很好

一些额外注重安全的 ROM 就更好了，比如 DivestOS 或 GrapheneOS

比较重要的是别用国人的 ROM ，用国外的开源 ROM 。国人所谓的“开源”有很多假开源

关于 root

最好不要 root ，root 手机会破坏手机原本存在的安全模型，导致手机不安全

如果嫌国内软件压不住可以试试 Shizuku+雹