Em SQL, literais de string devem ser citados.
No entanto, para evitar problemas de formatação como este (e ataques de injeção de SQL), use parâmetros:
Cursor c = db.rawQuery("SELECT * FROM " + TABLE_PROFILE +
" WHERE " + KEY_USER_EMAIL + " = ?",
new String[]{ username });
