Ad izolace aplikací je úplně stejná jako ve Windows - to ani náhodou. Ve Windows procesy s nižším IL nevidí window messsages procesů s vyšším IO, a nemohou jim ani posílat window messages (s pár záměrnými výjimkami). Takže když na vás blikne UAC screen s dotazem jestli chcete nainstalovat nepodepsaný SW, nebo jestli chcete něco udělat pod adminem, žádná uživatelská aplikace nemůže poslat událost stisku tlačítka "Yes". Podobně když máte v session restricted usera otevřený cmd.exe s oprávněním admina, nemůžou aplikace posílat tomu oknu události stisků kláves.
Ad každý uživatel má vlastní X11 session - dokud v té session nespustíte něco v kontextu jiného uživatele, například nějaké admin tools.
Ad všechno by mohly řešit ty permissions na API - vždyť to také řeší. Local System má vybrané privileges.