Nenhum software instalado em qualquer hardware, de qualquer forma, é 100% seguro, a menos que você seja o autor ou tenha lido todo o código-fonte, verificado sua segurança e construído por você mesmo. Ok, então isso pode ser algo de uma simplificação, mas não é realmente muito longe na maioria dos casos.
ROMs personalizadas não são exceção a isso. Sim, um autor de ROM poderia colocar spyware, um backdoor ou qualquer outra coisa que quisesse em uma ROM, se quisesse explorá-la maliciosamente. Com as ROMs AOSP, suponho que as possibilidades sejam um pouco ampliadas, pois a própria fonte do Android pode ser modificada para conter algum tipo de exploração ou spyware.
Também é importante notar, no entanto, que executar uma ROM de estoque do fabricante não é necessariamente uma opção mais segura se você estiver preocupado com a privacidade.
A pergunta "o Android é seguro por padrão" é, de certa forma, uma pergunta sem sentido. Ele foi projetado para ser seguro? Bem, sim, os dados são protegidos no nível do aplicativo e os aplicativos estão em área restrita. Qualquer sistema operacional é destinado a ser seguro, mas tudo isso sai pela janela quando você executa uma ROM que não é pura AOSP. Além disso, a natureza do código é que ele possui bugs, com o Android não sendo exceção. As ROMs personalizadas e as ROMs de fabricantes podem absolutamente ter o potencial de introduzir (intencionalmente ou não ) maneiras de seus dados serem detectados ou roubados.