La diferencia es que con el ejemplo que tu pones, eres tú quien voluntariamente flashea el teléfono para rootearlo. Es decir, que voluntariamente te expones al riesgo.
La existencia de un exploit significa que una aplicación malintencionada camuflada de jueguecillo en Google Play puede tener código capaz de escalar permisos y acceder a cualquier cosa de tu telefono, ponerse a grabarte video para ver si encuentra algo interesante y enviarlo por internet, acceder a tus cuentas, obtener tus contraseñas guardadas, tus datos personales... en fin... todo lo que quiera y sin que tú lo sepas.
