Sichere Trennung Persönliches vs. Arbeitsprofil auf Custom ROMs?

Auf GrapheneOS ist mit Hilfe von Shelter ein Persönliches und und ein Arbeitsprofil eingerichtet;
auf einem Fairphone mit Calyx ebenfalls aber hier mit den Optionen von Calyx.
In den Arbeitsprofilen sind v.a. die Apps aus dem Google-Play Store (durch Aurora Store) installiert bzw. wurden dorthin vom Persönlichen Profil aus hin installiert.

Die gleichlautende bzw. Originalapp im Persönlichen Profil erhält möglichst keinen Webzugriff.
Im Arbeitsprofil ist dann auch Whatsapp, das leider z.T. noch genutzt werden muss, mit einer separaten Kontaktapp, in der nur Whatsapp-Nutzer aufgeführt sind.

Was auffällt:
1.
Wenn eine App mit Aurora Store im Arbeitsprofil upgedatet wird, so ist auch auch die korrespondierende App Version im Persönlichen Profil anschließend aktualisiert.

Wenn z.B. in Netguard im Persönlichen Profil die Filterdateien zur Aktualisierung heruntergeladen wurden, kann anschließend vom Arbeitsprofil auf die heruntergeladenen Dateien vom Arbeitsprofil zugegriffen und auch Netguard im Arbeitsprofil aktualisiert werden.

Meine Frage:
Wie sicher ist die Trennung der beiden Profile? Lässt sich dazu etwas sagen – auch wenn unter Android und v.a bei Custom ROMs – zumindest wohl bei GrapheneOS – das Sandboxing verstärkt und die Systemrechte der Apps eingeschränkt sind?

Ich verstehe nicht, warum du nicht einfach per GOS unterschiedliche Profile erstellst.

Hatte ich bei der Installation von GOS vor einiger Zeit nicht im Blick, dass dies gehen könnte. Und Shelter kannte ich. Auf dem FP mit Calyx ist es ja so geschehen.
Aber deine Nachfrage beantwortet leider nicht meine grunbdsätzliche Fragestellung.

Du kannst auch jetzt noch jederzeit weitere Profile erstellen. Du könntest sogar deinen App-Quelle aufs Besitzerprofil installieren, darüber die Apps installieren und ins gewünschte Profil installieren. Dann hast du genau das was du derzeit mit Shelter machst, mit dem Ergebnis, dass die klare Trennung funktioniert.
Du kannst die Quellen aber auch in jedem Profil installieren. Ganz wie man mag.

Warum die App bei GOS nicht richtig funktioniert kann ich dir nicht sagen, aber eine Lösung für dein Problem ist vorhanden, auch wenn es deine Fragestellung nicht beantwortet.

Ich persönlich verwende Apps die datenhungrig sind - auch bei Android - nur mit einer virtual machine App. Also Android auf Android.

Dort habe ich z.B. 0 Kontakte und es stört mich auch nicht, wenn eine App versucht auf diese Kontakte zuzugreifen.

Das ist ganz normal so und auch gewollt. Apps werden geräteweit immer nur einmal „installiert“, egal in wie vielen Profilen sie vorhanden sind oder nicht. Daher führt auch das Updaten der App in einem Profil dazu, dass sie in allen anderen Profilen ebenfalls aktualisiert ist.

Das ist nicht Custom-Rom-spezifisch. Das ist immer so. Von z.b. „eu.faircode.netguard“ kann es nur eine App-Version für alle Profile geben. Entscheidend ist primär dieser Name. Sekundär dann die Signatur einer bereits installierten App. Du kannst nicht in einem Profil die Github- oder Playstore-Version installieren und in einem anderen die von F-Droid oder andersrum, (OT: Github- und Playstore-Version unterscheiden sich in der Funktionalität, aber nicht in der Signatur).

Apps mit gleichem Namen, werden, egal in welchem Profil die Aktualisierung gestartet wird, in allen Profilen aktualisiert, wenn die Signatur paßt.

Interessante Beobachtung,ist nicht auszuschließen, falls NetGuard Crossprofilfunktionalität(die auch nicht jeder App zur Verfügung steht, selbst wenn sie die deklarierte) hätte und Shelter das aktiviert, was ich ungewöhnlich fände.

Bei älteren Smarthones als Android 11, die noch Device- und Profileowner unterstützten, ist mir das nicht aufgefallen, allerdings hab ich auch Shelter nur einmal kurz ausprobiert. Filterlisten hab ich schon lange nicht mehr genutzt, jede einzelne Freigabe erfolgt manuell.

Ab Android 9 komnte mam ohne root nicht mehr auf das Arbeitsprofil, z.b. per adb, zugreifen.

Manche behaupten, Apps können auch per Netzwerk mieinander reden umd ja, das funktioniert zum Teil.

Allerdings eben im Privatprofil mal ScreenStream installiert und versucht, aus dem Arbeitsprofil(aus einem echten) darauf zuzugreifen, das funktionierte nicht, auch nicht per localhost. Wenn aber Apps in beiden Profilen frei Daten mit irgendeinem Host austauschen können, dann können die quasi über Bande auch miteinander reden.

Nicht benutzte Apps sollte man deaktivieren, kan. umständlich sein, oder ihnen die Kommunikation einscheänken. Wobei imho auch bei NetGuard nach Start immer noch eine Lücke existiert, obwohl hier lockdown für always-on-vpn aktiviert ist

Vielen Dank für die Antworten, Tipps und Hinweise!
Haben für mich einiges geklärt.