Ang Android ecosystem ay binuo sa isang serye ng mga pangunahing panloob na proseso at istruktura na nagsisiguro sa pagpapatakbo, pagganap, at seguridad nito. Ang isa sa mga pinaka-kritikal, ngunit marahil hindi gaanong kilala sa labas ng larangan ng mga developer at mga dalubhasa sa system, ay ang tinatawag na Proseso ng zygote. Tungkol saan ba talaga ito? ang proseso ng Zygote, kung paano ito nakikialam sa panloob na arkitektura ng Android, ano ang kaugnayan nito para sa system at mga application, at bakit ito naging focus ng interes para sa parehong mga pag-optimize ng pagganap at mga advanced na banta sa seguridad tulad ng Triada Trojan? Sa susunod na artikulo, makakahanap ka ng malalim, teknikal, at praktikal na pagtingin sa pangunahing elementong ito ng Android at lahat ng nauugnay na aspeto na lumitaw mula noong ito ay nagsimula.
Kung nagtataka ka Paano mabilis na nagbubukas ang mga app sa iyong telepono, o ano ang nangyayari sa ilalim ng hood? Kapag na-on mo ang isang Android device, dadalhin ka ng sagot sa gitna ng system: ang proseso ng Zygote at ang paraan ng pamamahala ng Android sa startup, memory, seguridad, at pagpapatupad ng app nito. Ang pag-unawa sa prosesong ito ay hindi lamang nagsasangkot ng pag-unawa sa teknolohiya ng mga system, kundi pati na rin ang mga potensyal na panganib sa seguridad na kinakaharap ng mga user natin ngayon at ang mga hamon na dapat isaalang-alang ng mga developer at manufacturer para matiyak ang mabilis, secure, at matatag na mga device laban sa mga sopistikadong pag-atake.
Ano nga ba ang proseso ng Zygote sa Android?
Sa Android slang, ang Proseso ng zygote Ito ang batayang template (o magulang) kung saan nilikha ang lahat ng proseso ng aplikasyon sa operating system. Ang pangunahing tungkulin nito ay pabilisin at i-optimize ang paglikha ng mga bagong proseso kapag binuksan ang isang app, gamit ang isang napakahusay na pamamaraan na kilala bilang tinidor, na nagmula sa Linux/Unix world. Ang pangalang 'zygote' mismo ay tumutukoy sa papel nito: ito ang paunang cell kung saan lumalabas ang iba't ibang proseso ng bata sa tuwing ilulunsad ang isang application sa system.
Ang proseso ng Zygote ay hindi lamang anumang proseso sa loob ng Android. Ito ay isang espesyal na proseso na nagsisimula nang maaga kapag ang device ay nagbo-boot, pagkatapos lamang ng linux kernel (ang kernel ng operating system) ay tapos na sa paglo-load at ang prosesong 'init' (ang unang pinapatakbo ng kernel) ay inihanda ang pangunahing kapaligiran. Ang Zygote ay inilabas ni sa loob bilang isa sa mga unang serbisyo sa system at, sa paggawa nito, naglo-load sa memorya (RAM) ang lahat ng mga tindahan ng libro mula sa Java at ang karaniwang mapagkukunan na kakailanganin para gumana ang mga Android application. Kabilang dito ang mga library ng system, framework, at iba pang mahahalagang dependency na ibinabahagi ng karamihan sa mga app.
Ang pangunahing bentahe ng diskarteng ito ay iyon hindi na kailangang mag-load mula sa simula lahat ng mga bahaging ito sa tuwing magbubukas ang isang app. Sa halip, kapag naglunsad ang user ng bagong app, pinipigilan lang ng Android ang proseso ng Zygote, na nagbubunga ng bagong proseso ng bata na na-preload na ang lahat maliban sa sariling code at mga mapagkukunan ng bagong app. Makakatipid ito ng oras sa pagsisimula, binabawasan ang pagkonsumo ng mapagkukunan, at pinapabuti ang karanasan ng gumagamit sa mga tuntunin ng bilis at pagkalikido.
Ang Android Boot Journey: Zygote sa Konteksto
Upang maunawaan ang eksaktong lugar kung saan sinasakop ng Zygote, mahalagang maunawaan ang mga yugto ng boot sa Android. Ang system boot ay binubuo ng ilang mahahalagang hakbang: Boot ROM (pagsisimula ng hardware), Bootloader (boot loader na nagsisimula sa Linux kernel), Kernel (naglo-load ng mga pangunahing function ng system at mga driver), Sa loob (proseso ng ugat na nagsisimula ng mahahalagang pagsasaayos at mga serbisyo), at pagkatapos ay ang Proseso ng zygote. Ito ay kapag ang magic ng Android Runtime (ART) o, sa mga mas lumang bersyon, ang Dalvik virtual machine ay nagsisimula.
zygote ay hindi nag-iisa: ​​pagkatapos ng pagsisimula nito at kapag ang mga file system ay naka-mount, ang proseso sa loob Naglulunsad ito ng ilang kritikal na serbisyo at daemon (mga proseso sa background) tulad ng 'servicemanager' (system service manager), 'logd' (log manager), 'vold' (storage volume manager), at ina-activate ang Binder interprocess communication (IPC) na imprastraktura. Gayunpaman, responsable pa rin ang Zygote sa paglulunsad ng virtual machine ng Android at paghahanda ng kapaligiran para sa mga proseso ng user at iba pang bahagi ng mataas na antas.
Kapag ang Zygote ay tumatakbo na, ang susunod na gawain nito ay simulan ang proseso System Server, isa pang pangunahing haligi ng operating system. Ang prosesong ito, na direktang 'anak' ni Zygote, ay naglulunsad at nagpapanatili ng isang buong baterya ng mga pangunahing serbisyo —ActivityManager, PackageManager, WindowManager at marami pang iba—na bumubuo sa pang-araw-araw na buhay ng anumang Android phone. At kung hindi iyon sapat, Zygote din ang magiging panimulang punto sa tuwing kailangang ilunsad ang isang bagong application ng user, na tinitiyak na ang bawat proseso ng bata ay magmamana ng pare-pareho at secure na kapaligiran, na handa nang gamitin ang lahat ng library at frameworks.
Ang mekanismo ng tinidor: kahusayan at kaligtasan
Ang sikreto sa pagganap ni Zygote ay nasa pamamaraan ng tinidor. Kapag ang isang bagong app ay kailangang magsimula, ang proseso ng Zygote ay hindi lumikha ng isang bagong kapaligiran mula sa simula, ngunit sa halip ay nagsasagawa ng isang tinidor mula sa sarili nito, na bumubuo ng proseso ng bata na kasama na ang lahat ng mga nakabahaging sangkap na na-load sa memorya. Ito ay may ilang mga pakinabang:
- Nagse-save ng oras: Ang proseso ng bata ay mayroon nang mga karaniwang aklatan sa RAM, kaya hindi na kailangang i-reload ang mga ito o muling mag-compile ng mga bytecode, na nagpapabilis sa paglulunsad ng app.
- Pagbawas ng pagkonsumo ng mapagkukunan: Sa pamamagitan ng pagbabahagi ng memorya sa pagitan ng mga proseso (hal., sa mmapping), ang pangkalahatang paggamit ng mapagkukunan ay mas mababa at ang mga hindi kinakailangang redundancies ay maiiwasan.
- Pagkakapare-pareho at paghihiwalay: Ang bawat proseso ng bata na minana ng Zygote ay nagsisimula sa isang pare-parehong paunang natukoy ngunit nakahiwalay na kapaligiran, salamat sa Android sandboxing, na nagpapababa ng panganib ng pagkasira ng memorya at pinapabuti ang pangkalahatang katatagan.
Ito ay nagkakahalaga ng pagbanggit na, sa pamamaraang ito, ang kaligtasan ay pinakamahalaga. Android Apps mahigpit na mga pahintulot, mga UID at mga pangkat ng gumagamit naiiba para sa bawat application, na tinitiyak na ang data at mga mapagkukunan ng isang app ay hindi direktang ma-access ng isa pa, maliban sa mahusay na tinukoy at pinamamahalaang mga pagbubukod. Kapag 'tinidor' ni Zygote ang isang bagong proseso ng aplikasyon, itinatalaga ito ng a Natatanging UID at pinapatakbo ito sa sarili nitong kontroladong kapaligiran. Kaya, kahit na ang mga aklatan at mga balangkas ay ibinabahagi sa memorya, ang natitirang bahagi ng mga kritikal na mapagkukunan ay nananatiling protektado.
Pinamamahalaan at Nakabahaging Memory: Ang Tungkulin ng Zygote at Android Runtime
Ang pamamahala ng memorya sa Android ay malalim na nauugnay sa disenyo ni Zygote. Parehong pinangangasiwaan ng Android Runtime (ART) at ang legacy na Dalvik virtual machine ang memorya sa isang pinamamahalaang paraan, gamit ang koleksyon ng basura at mga generational na diskarte upang awtomatikong maglaan at maglabas ng mga mapagkukunan batay sa mga pangangailangan ng system at mga app. Kapag huminto ang isang app mula sa Zygote, namamana nito hindi lamang ang mga library, kundi pati na rin ang preset na memory heap, na tumutulong sa pagkontrol sa pagkonsumo at pag-optimize ng pagbabahagi ng pahina ng RAM.
Gumagamit ang Android ng mga mekanismo gaya ng shared memory (ashmem, gralloc) at static na pagmamapa ng file (gaya ng .odex, .so, o mga file ng mapagkukunan ng system) upang hindi ma-duplicate ng mga proseso ng app ang kinakailangang impormasyon sa memorya. Ang Zygote ay gumaganap ng isang mahalagang papel dito, dahil responsable ito sa pagsisimula at pag-load ng mga karaniwang mapagkukunang ito bago magawa ang proseso ng unang bata. Sa ganitong paraan, maaaring makinabang ang anumang app na inilunsad sa ibang pagkakataon mula sa arkitektura na ito nang hindi nagkakaroon ng paglo-load o paghihintay sa itaas.
Panloob na Arkitektura: Paano Kumokonekta ang Lahat sa Android
Ang Android ay binuo sa mga layer, na ang bawat layer ay nagbibigay ng pangunahing functionality at pakikipag-ugnayan sa iba sa pamamagitan ng mahusay na tinukoy na mga interface. Sa base ay ang linux kernel, responsable para sa pamamahala ng mga proseso, user, memorya at mga pisikal na device (mga driver). Sa itaas niya, ang Hardware Abstraction Layer (HAL) nagbibigay ng pare-parehong tulay para sa pakikipag-ugnayan sa hardware, na nagpapahintulot sa iba't ibang device na patakbuhin ang Android nang hindi masyadong nababahala tungkol sa mga teknikal na pagkakaiba sa bawat chip o sensor.
Ang susunod na layer ay binubuo ng isang set ng mga katutubong aklatan (marami sa C/C++), kung saan namumukod-tangi ang libc, SSL, SQLite, at ang Android virtual machine mismo. Ang lahat ng ito ay maagang ni-load ng Zygote at bumubuo sa 'karaniwang kapaligiran' para sa mga app. Sa itaas ay nagpapatakbo ang Android Runtime (ART) o, sa mga mas lumang system, ang Dalvik Virtual Machine (DVM), na responsable para sa pagpapatupad ng bytecode ng mga application (sa .dex format), gamit ang parehong just-in-time (JIT) at ahead-of-time (AOT) na mga diskarte sa compilation.
Sa itaas ng runtime makikita natin ang balangkas ng mga serbisyo ng system, naa-access mula sa mga application ng Java/Kotlin sa pamamagitan ng mga high-level na API. Dito matatagpuan ang Activity Manager, Package Manager, Content Provider, Window Manager, at iba pang mahahalagang serbisyo, karamihan sa mga ito ay nagsimula sa proseso ng System Server na na-forked ng Zygote. Sa wakas, ang tuktok na layer ay inookupahan ng mga application ng user, na tumatakbo sa loob ng sarili nilang proseso na kinokontrol ng system, at hindi kailanman direkta sa kernel.
Ang lifecycle ng isang application at ang papel ng Zygote
Ang lifecycle ng anumang Android app ay malapit na nauugnay sa kung paano pinangangasiwaan ng Zygote ang pagbubukas, pagpapatakbo, at pagsasara ng mga proseso. Kapag naglunsad ang user ng app, tinutukoy ng system kung nagpapatakbo na ang isang proseso ng anumang bahagi ng app na iyon. Kung hindi, hilingin kay Zygote na mag-fork at gumawa ng bagong proseso. Kapag tapos na ito, nilo-load ng system ang code at mapagkukunang tukoy sa app, sisimulan ang pangunahing Aktibidad nito at sisimulan ang karaniwang lifecycle (onCreate, onResume, atbp.).
Kung magpalipat-lipat ang user ng mga app o isasara ang app, karaniwang nananatiling naka-cache ang proseso nang ilang sandali upang mapabilis ang posibleng muling paglunsad, ngunit maaaring patayin ito ng system anumang oras kung matukoy nito ang pangangailangang magbakante ng mga mapagkukunan. Salamat sa pamana ni Zygote, ang muling paglulunsad ng app ay karaniwang napakabilis kahit na mula sa malamig na mga estado, dahil ang partikular na code lang ang kailangang muling simulan.
Tulad ng para sa paghihiwalay, ang bawat app ay tumatakbo sa sarili nitong UID at ang mga pahintulot nito ay limitado ng Android security system. Pinipigilan nito ang isang app na makakuha ng hindi awtorisadong pag-access sa data o mapagkukunan ng isa pang app, maliban sa mga kontroladong sitwasyon (halimbawa, paggamit ng SharedUserId o tahasang mga pahintulot sa manifest). Ang proteksyon ay pinalalakas ng Linux kernel at mga patakaran sa seguridad gaya ng SELinux. Upang humukay ng mas malalim sa kung paano kumokonekta ang buong arkitektura ng system ng Android, maaaring makatulong na suriin ang proyekto ng Android x86.
Android at Zygote Security: Mga Panganib at Panukala
Ang arkitektura ng seguridad ng Android ay batay sa ilang mga layer, kung saan ang Zygote at sandboxing ay mga pangunahing elemento. Gumagana ang bawat app sa sarili nitong sandbox, na may iisang user, at ang mga pakikipag-ugnayan sa system o iba pang app ay kinokontrol ng framework, mga patakaran sa pahintulot, at paggamit ng mga UID/GID na tinukoy sa android_filesystem_config.h file.
Gayunpaman, ang katotohanan na ang Zygote ay ang template para sa lahat ng mga application ay nangangahulugan na ang anumang kahinaan o pagmamanipula sa prosesong ito ay maaaring magkaroon ng lubhang malubhang kahihinatnan sa seguridad. Sa katunayan, ang proseso ng Zygote ay naging target ng ilan sa mga malware pinaka-sopistikadong nakita sa mundo ng Android, gaya ng Proyekto ng Remix OS.
Ang Triada Case: Kapag Inaatake ng Malware si Zygote
Sa larangan ng cybersecurity, isa sa mga pinakakilalang pag-atake na nagta-target sa proseso ng Zygote ay isinagawa ng Trojan. Triad. Ang malware na ito, na natuklasan ng Kaspersky Lab, ay nagmarka ng bago at pagkatapos ng ebolusyon ng mga banta sa mobile, sa pamamagitan ng pagsasamantala sa pag-access nito sa system upang baguhin ang Zygote mismo at, sa ganitong paraan, ipasok ang malisyosong code nito. sa loob ng lahat ng proseso ng aplikasyon.
Namumukod-tangi ang Triada sa ilang kadahilanan:
- Pagkuha ng mga pribilehiyo sa ugat: Gumamit ito ng iba pang mga Trojan upang makakuha ng root access, lumalabag sa karaniwang mga paghihigpit sa seguridad ng Android.
- Impeksyon sa proseso ng zygote: Sa sandaling nakataas, binago nito ang memorya ni Zygote upang mag-embed ng mga nakakahamak na module, na naging bahagi ng template ng lahat ng proseso ng bata. Kaya, lahat ng mga app na inilabas mula sa sandaling iyon sa minanang mga nakakahamak na function, na ginagawa itong halos nasa lahat ng dako at napakahirap matukoy.
- Modular at patuloy na pag-andar: Ang Triada ay idinisenyo upang maging flexible, magda-download at magsagawa ng mga module kung kinakailangan, na may pangunahing layunin ng pag-hijack ng mga transaksyong pinansyal sa pamamagitan ng SMS, pag-exfiltrate ng personal na impormasyon, pag-install ng iba pang mga nakakahamak na app, pagtatago ng presensya nito, at kahit na makaligtas sa pag-reboot ng system.
- Kahirapan sa pagtanggal: Dahil ang karamihan sa code nito ay naninirahan lamang sa memorya (RAM) at hindi sa disk, halos hindi ito matukoy ng tradisyunal na antivirus software at maaalis lamang sa pamamagitan ng kumpletong pag-wipe ng device.
