Volentieri Rahab, cercando di non dilungarmi come mio solito...
Il primo limite che mi viene in mente sono le impostazioni e le credenziali dell'accesso alla rete: queste sono necessariamente sempre le stesse, avendo noi un solo provider (gestore) ed un solo account (quello della sim o della connessione casalinga nel caso dei PC) per accedere ad essa. Ad esempio io volevo usare una macchina virtuale per accedere ad alcune funzioni online di google ma siccome ho bloccato quei domini sul sistema host, anche la macchinavirtuale non può accedervi. Ma se io rimuovo tali blocchi dalla macchina host, per dar modo a quella virtuale di accedervi, espongo a potenziali intrusioni la stessa macchina host, perchè il sistema operativo è avviato e funzionante sotto la macchina virtuale che sto usando...
Riguardo android mi viene in mente che comunque per le funzioni comunicative (come per tutto il resto) il sistema operativo utilizza dei moduli specifici, che non credo proprio vengano duplicati per tutti gli "spaces" di questa versione "sicura", e quindi presteranno il fianco alle stesse vulnerabilità, in qualunque ambiente virtuale noi stiamo operando.
Se una macchina virtuale potesse usare una propria connessione indipendente, con credenziali e impostazioni autonome, allora sì che potremmo fingerci su un dispositivo differente da quello che stiamo usando e nascondere davvero il sistema host a intrusioni esterne. Ma questo temo si possa fare solo con sistemi operativi differenti installati in multi-boot sulla stessa macchina, in modo che l'istanza che vogliamo proteggere non risulti avviata mentre siamo online.