安卓使用第三方 ROM 或是 root 时，如何保证安全？

热门机的 ROM 还可能有很多维护者，风险稍微低一些但也低得有限，毕竟像 xz utils backdoor 这样的源码丢我们普通用户或者开发者面前我们也很难看出来毛病。冷门机目前几乎没有可能解决你说的这些信任问题，更毋论一些个人的、闭源的 ROM 、软件了。并且你说对了，这对很多人来说不重要，用得爽更重要。

不光是第三方 ROM 或 root 是裸奔，官方 ROM 且不 root 也是裸奔，这样一想心里就会舒服多了，就没那么紧张了

很多人刷机的目的是“就算是泄露”也要泄露给外国人，而不是泄露给身边的人
最简单的例子：你的隐私被外国人看到了，你是没那么在意
如果你的隐私被中国人看到了，你会相对难受
如果你的隐私被邻居/朋友看到了，影响就很大

刷机圈出现过远程下发格机脚本的恶性事件，只能返厂维修，数据全丢，例如： https://nga.178.com/read.php?tid=37716363

我的总结是要想刷机，远离中国人及中文社群，包括但不限于论坛/群，这样你就能保障最基本的安全

因为在安卓手机界，手机厂商的信誉，甚至那些银行、微信、app 厂商的信誉远远低于普通的 rom 制作者，至少是 xda 里公认的 rom 或者框架，信誉是很高的。这不是一年两年了，从十年前就是这样了。

像汇丰那种，每次手机银行能不能登陆还要看运气的 app ，自己的钱都不一定转的出去，遇到几次你也会抓狂。

@totoro625
@SkywalkerJi
我能理解你的观点，但我脑子里面想的是 隐私是可以拿去卖的。官方 rom ，可能是我孤陋寡闻，但我还没也听说过有主流手机厂商把用户信息偷出去卖给黑客作恶的。而作为个人的 rom 开发者，他们想作恶，获取你的信息然后拿去卖到暗网或是拿你的机器做 ddos 机器人，都只是一念之间的事，这跟国内还是国外没有关系。

我不完全同意 rom 开发者比手机厂商的信誉高...
Rom 开发者的信誉... 跟他们做不做恶有可能没有关系，就算他们作恶，大概率也不会有人发现。他们只需要开发足够长时间就行了。他们如果某天忽然想搞点什么，他们动动手指就行了。手机厂想要搞这种事，也当然可以，但我确实没听说过

@SkywalkerJi
上一个回覆没打完就发出去了...
我认为手机厂商起码一般会有 code review ，起码个人想要拿你的个人信息用作个人用途的概率是比较低的。

至于第三方厂商，比如银行，微信等，我认为用户需要给的信任是远低于对 rom 或是 root 工具的信任的。
起码在不 root 的状况下或是不考虑他们往应用里塞漏洞 exploit(如拼多多)的状况下，应用能获取到的其他应用信息和你的敏感数据的量是十分有限的。

https://v2ex.com/t/1043878
刚好昨天问了这个问题。
Root 的工具比如 magisk 我觉得基本可信，而且创作者 JohnWu 算是实名上网了，即便是其他贡献者想要植入后门也比较难。
但是第三方 ROM 的可信度我认为比较低了，即便是发布在 XDA 上，也很少有人会去检查安全性，因此我问了那个问题，想要自己编译 ROM 保证安全。

使用开源的 Root 工具、第三方 ROM 。保证安全的方式是，查看源码中是否有恶意代码，如果没有就是安全。一般开源社区有一小部分人会查看这些源码。
---
针对你想要保护的隐私问题选择，像华为手机系统级扫描相册，自动删除用户相片；政府机构可以通过广泛的法律行动通过手机官方获取你的信息。但手机官方通常不会将你的信息主动泄露谋求额外的经济利益。

又不是每个 app 都可以 root 只让自己放心的 app 获得 root 权限就行 其他用法和没 root 的一样 不 root 不好玩

@t41372
别的地方不一定，但就 v 站我观察而言，大部分人应该只是想刷掉反诈中心。。。民间 rom 基本不可能有这个，除非是基于大陆版的改包。

一般开源社区的 ROM 都有审查吧，

如果是个人做的，那么基本上只有因为利益冲突导致的格机风险，如果是免费分发的，则利益冲突都没有了。

国人制作的包，如果盗窃钱财很容易联想到 ROM 的问题，一般可能还是有 QQ 群联系的，找警察报警诈骗什么的还是很容易找到对方的，一般国人也不会冒这个风险干吃力不讨好的事。至于隐私，一方面感觉没人会特殊癖好到窥探刷机的初高中男生的聊天隐私什么的吧，另一方面，大量文件上传也会留有上传的记录，被发现很容易身败名裂甚至入狱的

@t41372 #4 历史发生的事件表明，即使不是主观想添加恶意程序，也可能被坏人悄悄添加恶意程序
棱镜门事件、BIOS 后门事件、OEM 后门事件 等等
Linux 的 SSH 都能被埋下后门 /t/1028288 ，这仅仅是机缘巧合被发现的，最大的恶意猜测还有更多没被发现的

手机厂肯定主观上要维护好自己的口碑，但是他就没有竞争对手想要搞破坏吗？他被要求内置反诈能拒绝吗？国家机密敢对外泄露吗？

信任是一次次的积累的，如果你不信任第三方 ROM 作者，就不要在他面前脱裤子
可以选择官方 ROM+root 工具，你只能相信 root 工具在干他应该干的事情

从人性的角度出发，国内的开发者通常会组建社群，与用户交流，更容易遇到个别不理智的用户，从而情绪失控，做出不理智的事情
当然，外国的开发者也有失去理智，被社群胁迫转变技术路线，甚至放弃开发/更新 ROM

国内所有的系统，所有的软件，有一个算一个，都会泄露你的隐私，国外开源社区的系统，在没有大规模漏洞被发现前，默认都是安全可靠的，安卓比较出名的类原生系统有 LineageOS 、PixelExperience ，这几个系统都可以无脑放心用，都会有代码审核，会同步更新安全补丁，至于 ROOT 方面，国内所有的垃圾软件，都会检测 ROOT 权限，你需要自己手动刷入框架去屏蔽掉它们，把你的设备伪装成一个未解锁、未 ROOT 的环境。

@sir283 国外的系统还有一个前提，必须是 FLOSS 的，闭源的也不行

取决于你的威胁模型

你只是想解决软件反诈并挡住流氓 App, 那 root 确实可以满足需求, 知名 App 不可能专门攻击 Magisk
你想抵抗远程攻击, 那就最好不要 root, 自己审查代码再编译安装, 且应该选用会持续更新安全补丁的 ROM
你要抗取证, 那国产设备就无法满足你的需求, 刷机后安全启动都没了, 别人拿到手机随便就能黑进去

国内绝大多数刷机用户的需求是第一种, 他们一般不关心安全

国产手机肯定有监控和隐私上传，这点毋庸置疑。

刷机后，第三方开源软件没有动机，也没有必要监控，即使有，也远比中国厂商危害小。

当然，远离中国人刷机圈子错不了，选择有信誉的国外社区会更可靠。不排除国外圈子也有作恶，主要还是看个人和社区信誉。

@totoro625

不是很赞同你的观点，参考
海外的 Project Elixir 也被发现有格机代码，虽然不是远程的，虽然只会擦除用户数据不会动其他分区，但我相信对大部分用户来说，清除所有数据也是不能接受的

以下回答楼主的问题：
可以自己移植 AOSP ，或使用谷歌官方构建发布的 GSI 镜像，至少，可以自行审查并编译他人开源的 ROM 。审查只需要审查这个 ROM 中与上游不同的部分即可，不需要审查所有代码。如果 ROM 根本没有开源，只给了编译后的二进制文件，那直接视作不安全。

移动端的安全确实相比 PC 端会弱很多。首先，国产的这些 UI 普遍经过了各类魔改，引入了很多攻击面，例如 MIUI： https://blog.oversecured.com/20-Security-Issues-Found-in-Xiaomi-Devices/，再加之反诈、实名、APP 备案等一系列要求，虽然官方不一定主动作恶，但未必真的安全和隐私。

如果想要隐私+安全，我个人觉得应该使用海外的、相对更接近上游的手机，比如 Pixel

但可能出于各种原因（性能、双卡、使用习惯等），还是希望使用国产手机的话，刷经过自己 review 的类原生，只使用开源的、广泛使用的 Magisk ，同样只授权广泛使用的开源软件 root 权限，应该是能达到比原厂 ROM 更好的安全和隐私性的。

当然现在有另一些人刷机是为了"可玩性"或是性能发挥，装一堆个人发布的 root 软件/模块，这种情况下确实是会牺牲大量稳定性和安全性的，被格机的案例也不少了，相对风险就会大很多。

1. 给予有声誉的项目充分信任
2. 保持警惕.

不然你在任何环境下都举步维艰.
时常关注社区新闻和动态. 隐私和安全是需要用户自己履行一定义务的.

纠结这些我的建议是直接用 iPhone
别纠结了
为了安全用第三方 rom ，我的建议是不用，第三方 rom 只是为了清爽一点和体验类原生的安卓
你要么就官方的欧洲版本的 rom ，

都不安全

如果你是注重隐私，那目前只有 IOS 隐私性最好（最好不意味着没人或组织能获取到你的隐私，只是相对更少）。安卓无论是手机厂商还是第三方 ROM ，ROOT 与不 ROOT ，你的隐私根据你安装的软件会泄露给各种渠道，尤其是使用国内的一些 App ，底线就别指望了，从输入法，到聊天工具，到电商 App ，到工作 App ，到支付、游戏，你能想到不能想到的，它们都有各种骚操作。

如果你是注重安全，那不建议 ROOT 和使用第三方 ROM ，不刷机直接使用手机自带 ROM 就好

无法完全排除恶意代码的可能性，只能根据一些标准选择公认信誉良好的。

获取 root 权限的软件：很久之前，有一个社区广泛使用的 root 软件，名为 SuperSU, 使用者众多。2015 年，软件作者 Chainfire 把 SuperSU 打包卖给了一家公司。后来网友扒出来该公司是一家中资背景、身份神秘的空壳公司，于是纷纷弃用 SuperSU, 转投 Magisk. 后来 Magisk 主要作者 topjohnwu 入职谷歌，曾引起社区对 Magisk 命运的担忧，但他后来获准继续维护 Magisk 。

ROM: 现在广泛使用的第三方 ROM, 名为 LineageOS, 很多其他的所谓第三方 ROM 都是在 LineageOS 基础上再做二次开发做出来的。LineageOS 前身为 CyanogenMod, 起始于 2009 年。一加第一代手机 Oneplus One 的官方系统就是跟 Cyanogen 官方使用推出的。这些拥有官方组织的 ROM ，拥有成熟的团队和基础设施，ROM 代码会有多级 review ，整个流程都是公开的，你自己就可以去查看。 至于国内很多个人 ROM 作者，你当然是无法保证他个人会在 ROM 里添加什么东西了。

你从正规应用市场下载的大厂 app ，照样可能存在恶意行为。参考拼多多 /t/920460, /t/929485, /t/927716

本质上就是一个信任范围的问题。

你对国内公司不信任，那国产 Rom 对于你来说就是不安全的。
你对国外公司也不信任，那国外手机的 Rom 对于你来说就也是不安全的。
你对开源项目也不信任，那第三方开源 Rom 对于你来说就也是不安全的。
你对个人开发者也不信任，那第三方个人开发的 Rom 对于你来说就也是不安全的。

最后想要完全的信任，就只能手搓系统自己实现。

所以人要学会取舍，折中和妥协。

引用 sudo 的话,

> (1)尊重他人隐私。
> (2)输入前，再三斟酌。
> (3)能力越大，责任越大。

三方 rom 只选择可以自行 build 的，最起码可以留存代码，
但是 vendor 那些 blob 就没啥办法了

用 XDA 上名气大的开源 ROM 比如 Lineage OS crdroid 等

关于第三方 ROM

一般使用主流的开源 ROM 基本没事，无谷歌的开源 ROM 基本都很少（基本没有）上传隐私数据，隐私性都很好

一些额外注重安全的 ROM 就更好了，比如 DivestOS 或 GrapheneOS

比较重要的是别用国人的 ROM ，用国外的开源 ROM 。国人所谓的“开源”有很多假开源

关于 root

最好不要 root ，root 手机会破坏手机原本存在的安全模型，导致手机不安全

如果嫌国内软件压不住可以试试 Shizuku+雹