Ningún software que instale en cualquier hardware de cualquier forma es 100% seguro a menos que sea el autor o haya leído todo el código fuente, haya verificado su seguridad y lo haya construido usted mismo. Muy bien, así que esto puede ser algo de una simplificación excesiva, pero no es realmente demasiado lejos en la mayoría de los casos.
Las ROM personalizadas no son una excepción a esto. Sí, un autor de ROM podría poner un spyware, una puerta trasera o casi cualquier otra cosa que quisiera en una ROM si quisiera explotarla maliciosamente. Con las ROM de AOSP, supongo que las posibilidades están algo ampliadas ya que la fuente de Android en sí misma podría modificarse para contener algún tipo de exploit o spyware.
Sin embargo, también vale la pena señalar que ejecutar una ROM de stock del fabricante no es necesariamente una opción más segura si le preocupa la privacidad.
La pregunta "es seguro para Android de forma predeterminada" es, de alguna manera, una pregunta sin sentido. ¿Está diseñado para ser seguro? Bueno, sí, los datos están protegidos a nivel de aplicación y las aplicaciones están protegidas. Cualquier sistema operativo está destinado a ser seguro, pero todo eso desaparece cuando ejecuta una ROM que no es AOSP puro. Además de eso, la naturaleza del código es que tiene errores, con Android como excepción. Las ROM personalizadas y las ROM del fabricante por igual pueden tener el potencial de introducir (ya sea intencionalmente o no ) formas para que sus datos sean rastreados o robados.