Ambas son igual de inseguras si el usuario es root, si no lo es son igual de seguras, porque se almacenan en la parte privada de la app en data/data.
De todas formas no es correcto almacenar el usuario y contraseña en la app, lo correcto es almacenar un Token de Sesión y un Token de Renovación, usar el Token de Sesión mientras dure y cuando caduque usar el de Renovación para solicitar nuevos Tokens.