Irgendwie verstrickst Du Dich in Widersprüche. einmal schreibst Du, daß Du nicht einfach zwei Typen hier glauben willst, dann aber schreibst Du, daß Du gern hier Antworten hättest und keine (objektiven) Links.
Der von mir gepostete Link ging zur FOM Hamburg - aber vielleicht ist die Uni Koblenz ja vertrauenswürdiger:
http://userpages.uni-koblenz.de/~steigner/seminar-net-sec/sem11.pdf
Vielleicht ist aber auch ein Buch aus der Vor-ANDROID-Ära zur Sicherheit offener Systeme das, was Dir Deine Fragen beantwortet?!
Bues, Manfred: Offene Systeme – Strategien, Konzepte und Techniken für das Informationsmanagement, Springer-Verlag Berlin 1994
Deine Ursprungsfrage wurde in den ersten Posts beantwortet - danach artete dieser Thread leider in ein Gemetzel aus, wo alle nur noch auf den einen User einprügelten. Und das, obwohl er hinlänglich zeigte, daß die Antworten, die er bemängelte rein polemisch waren - und offenbar von einem Fan-Boy stammten.
Natürlich mußt Du mir hier nicht glauben - aber deshalb habe ich ja auch nur auf referenzierbare Quellen verwiesen.
Aber nun nochmal eine Zusammenfassung, damit Du den Antworten nicht hinterherlaufen mußt:
Ist en offenes System einem geschlossenen System in Sachen Sicherheit überlegen?
Diese Frage kann man leider nicht mit JA oder NEIN beantworten.
In einem offenen System kann auf (immer vorhandene) Schwachstellen schneller reagiert werden als in einem geschlossenen System.
Gleichzeitig werden diese Schwachstellen meist schneller gefunden und dokumentiert.
Daher ist diese Eigenschaft zugleich Vor- als auch Nachteil offener Systeme, da eine Lücke - sofern sie nicht zeitnah geschlossen wird - hinlänglich bekannt ist.
Problematisch werden an dieser Stelle dann die halboffenen Systeme (oder die scheinbar offenen Systeme), wie man sie bei einer - gegen die GPL - nicht dokumentierten Anpassung vorfindet.
Hier sind die Fehler bekannt - aber die Behebung dauert zumeist sehr lange.
Ist die Rechtevergabe von ANDROID ausreichend und sinnvoll?
Die Rechtevergabe innerhalb ANDROID wird permanent weiterentwickelt - was bereits ein Zeichen dafür ist, daß das bisherige System nicht hinreichend ist.
Da die Berechtigungen jedoch in Gruppen organisiert sind, mußte man als Entwickler manchmal rechte einfordern, die absolut nicht nachvollziehbar sind, wenn man nicht weiß, wie die Rechte organisiert sind.
Wenn das System nun jedoch verändert wird, dann haben ältere APPs plötzlich völlig falsche und völlig überzogene Rechte (die noch nichts mit Datenklau & Co. zu tun haben)
Ist die Rechtevergabe im Dateisystem sinnvoll und ausreichend?
Hier muß man zwischen dem Dateisystem der SD-karte und dem Dateisystem des (User)Data-Bereiches unterscheiden.
Die SD-karte ist (als Standard) im FAT-System formatiert, welches keinerlei Rechtevergabe unterstützt.
Der (User)Data-Bereich ist eine EXT-Partition. Hier kann ich Besitzer- (Owner), Gruppen- und Admin-Rechte getrennt für Lesen, Schreiben und Ausführen vergeben.
Für jede angelegte Datei - aber auch jedes Verzeichnis.
Jede neu installierte App bekommt eine neue Benutzer-ID.
Solange ich also meine Daen in der Data-Partition habe, kann die Sicherheit völlig ausreichend sein.
Alles, was ich auf der SD-Karte habe, ist eher unsicher.
Ab JellyBean wurde aber versucht, eben die SD-Karte komplett für Apps zu pserren.
Was ist mit Rechten für Kontakte etc.?
Bestimmte Programme müssen eben Kontakte lesen können. Da wo ich es nicht will, die App installiere ich nicht.
Was ist mit der Berechtigung für Internet?
Wenn eine App einfach nur Daten senden und empfangen will, so kann das Programm einfach über den Browser gehen - und dort per PHP-Option Daten senden und empfangen, was für den User nachvollziehbar bleibt.
Will eine App aber den direkten Zugriff, dann sollte ich mir das überlegen.
Muß ein Gerät gerootet sein?
Tja - an dieser Stelle kommt es zu einem Interessenkonflikt.
Wenn ich Root-Rechte (Administrator-Privilegien) habe, dann kann ich die Sicherheitsstufe eben hoch oder runter setzen.
Beispiel: Ich habe eine Root-Shell. Nun habe ich Debugging an. In genau diesem Moment kann man meine PIN oder mein Muster einfach löschen um Vollzugriff auf das Telefon zu bekommen.
Andererseits kann ich nun per iptables genau definieren, wer Zugriff auf das Netzwerk hat.
Demnach bleibt abschließend zu sagen, daß ohne
Brain 2.0 eben gar nichts sicher ist.
Vielleicht war es ja das, was Du als Bereicherung des Threads ansehen könntest.
Ich habe weder gesagt noch gemeint, dass ich ganz sicher gehen will. Ich will halt manchmal nur nur haargenau wissen, was ich eigentlich tue, auch bei der Nutzung meines Smartphones. 
