Coinbase에서 "인앱 브라우저"를 비활성화하는 방법은 무엇입니까? (보안 설정)

Coinbase 인앱 브라우저 동작 이해

1. Coinbase 모바일 애플리케이션에는 지갑 연결 프롬프트 또는 타사 dApp 통합과 같은 외부 링크를 렌더링하기 위해 사용자 정의 webview 구성 요소가 포함되어 있습니다.

2. 이 내장된 브라우저는 Chrome이나 Safari와 같은 시스템 브라우저에서 일반적으로 사용할 수 있는 기능인 표준 주소 표시줄 컨트롤, 인증서 확인 표시기 또는 탐색 기록을 노출하지 않습니다.

3. 이러한 UI 요소가 없으면 로드되는 실제 도메인에 대한 사용자 가시성이 줄어들고 동형이의어 공격이나 악의적인 리디렉션을 통한 피싱에 대한 취약성이 높아집니다.

4. 독립 실행형 브라우저와 달리 Coinbase 인앱 브라우저는 기본 앱과 세션 컨텍스트를 공유합니다. 즉, 명시적인 사용자 동의 없이 탐색된 페이지 전체에서 인증 토큰 또는 지갑 연결 상태가 지속될 수 있습니다.

5. Coinbase의 설정 메뉴에는 "인앱 브라우저 비활성화" 또는 이와 유사한 공식 토글이 없습니다. 이 기능은 하드코딩되어 있으며 최종 사용자가 구성할 수 없습니다.

강제 WebView 사용의 보안 영향

1. 사용자는 Coinbase Wallet의 내장 브라우저를 통해 분산형 애플리케이션과 상호 작용할 때 SSL 인증서를 수동으로 검사할 수 없으므로 TLS 유효성 및 인증 기관 신뢰 체인 확인이 제한됩니다.

2. 지갑 연결 흐름 중에 부여된 클립보드 액세스 권한은 앱과 내부 렌더러 간의 공유 프로세스 격리 경계로 인해 필요 이상으로 오랫동안 활성 상태로 유지될 수 있습니다.

3. 인앱 브라우저 내부의 JavaScript 실행 환경은 최신 OS 수준 브라우저와 동일한 수준에서 샌드박스 처리되지 않으므로 민감한 DOM 요소 또는 삽입된 스크립트 페이로드가 의도하지 않은 유출에 노출될 가능성이 있습니다.

4. 인앱 브라우저 내에서 열린 외부 사이트에서 시작된 거래 서명 요청은 MetaMask의 도메인별 승인 프롬프트와 같은 기존 브라우저 확장 보호를 우회합니다.

5. 원격 Chrome DevTools와 같은 디버깅 도구는 Coinbase의 내부 웹뷰에 연결할 수 없으므로 보안 연구원이 네트워크 요청 또는 DOM 구조를 실시간으로 검사할 수 없습니다.

외부 링크 처리에 대한 해결 방법

1. 토큰 청구 페이지 또는 NFT 발행 인터페이스와 같은 인앱 브라우저를 실행하는 링크를 수신하면 사용자는 직접 탭하는 대신 URL을 수동으로 복사하여 기본 시스템 브라우저에 붙여넣어야 합니다.

2. iOS 장치에서 Coinbase Wallet 내의 링크를 길게 누르면 "Safari에서 열기"라는 옵션이 표시될 수 있습니다. 그러나 이 동작은 링크 구성 방식과 대상 사이트에서 범용 링크가 올바르게 구성되었는지 여부에 따라 다릅니다.

3. Android 사용자는 설정 > 앱 > Coinbase > 고급 > 링크 열기로 이동하여 "지원되는 링크 열기"가 "항상 묻기"로 설정되어 있는지 확인하여 외부 URI를 처리하는 애플리케이션을 제어할 수 있습니다.

4. Coinbase Wallet과 통합하는 개발자의 경우 외부 브라우저로 대체되는 Intent:// 또는 https:// 딥 링크 구성표를 지정하면 리디렉션 흐름 중 사용자 대행사가 향상됩니다.

5. 일부 타사 지갑은 구성 가능한 브라우저 기본 설정을 제공합니다. Trust Wallet 또는 Phantom과 같은 대안으로 전환하면 내장 렌더링을 완전히 비활성화하는 것을 포함하여 기본 브라우저 동작을 세부적으로 제어할 수 있습니다.

계정 수준 보안 완화

1. 하드웨어 보안 키 또는 인증 앱을 사용하여 2단계 인증을 활성화하면 손상된 인앱 브라우징 컨텍스트에서 발생하는 무단 세션 하이재킹에 대한 중요한 보호 계층이 추가됩니다.

2. 설정 > 보안 > 연결된 앱에서 연결된 dApp을 정기적으로 검토하면 전체 도메인 인식 없이 인앱 브라우저를 통해 승인되었을 수 있는 의심스럽거나 오래된 통합을 식별하는 데 도움이 됩니다.

3. 거래 확인이나 시드 구문 내보내기와 같은 민감한 작업에 대해 생체인식 잠금 해제를 비활성화하면 PIN을 수동으로 입력해야 하므로 백그라운드 프로세스에서 자동 승인이 발생할 위험이 줄어듭니다.

4. 거래와 지갑 상호 작용에 별도의 Coinbase 계정을 사용하면 브라우저 기반 공격 벡터를 통해 한 환경이 손상될 경우 폭발 범위가 제한됩니다.

5. mitmproxy(장치 정책에서 허용하는 경우)와 같은 도구를 사용하여 네트워크 트래픽을 모니터링하면 인앱 브라우저 세션 중에 연결된 실제 HTTP(S) 엔드포인트가 표시되어 예상치 못한 도메인이나 암호화되지 않은 전송을 감지할 수 있습니다.

자주 묻는 질문

Q: Coinbase에서는 사용자가 개발자 옵션을 통해 인앱 브라우저를 비활성화할 수 있나요? 아니요. Android 또는 iOS의 개발자 모드 토글은 WebView 교체 또는 Coinbase 애플리케이션에 대한 외부 브라우저 적용과 관련된 설정을 노출하지 않습니다.

질문: Coinbase의 인앱 브라우저 내에서 uBlock Origin과 같은 브라우저 확장 프로그램을 사용할 수 있나요? 아니요. 확장 프로그램을 사용하려면 전체 브라우저 엔진 액세스가 필요하며 Coinbase의 모바일 애플리케이션에서 사용되는 내장형 웹 보기와 호환되지 않습니다.

Q: Coinbase Pro에서 사용되는 인앱 브라우저는 Coinbase Wallet에서 사용되는 브라우저와 다릅니까? 예. Coinbase Pro는 Android의 시스템 수준 WebView 구성 요소와 iOS의 WKWebView 구성 요소를 사용하는 반면, Coinbase Wallet은 지갑 서명 논리와 더욱 긴밀하게 통합되는 보다 제한적인 독점 렌더링 레이어를 사용합니다.

Q: 인앱 브라우저에서 열린 URL은 Coinbase 서버에 기록됩니까? Coinbase의 개인 정보 보호 정책에는 분석 및 보안 모니터링 목적으로 앱 내 탐색 활동이 수집될 수 있다고 명시되어 있지만, 특정 엔드포인트 로깅 세부 정보는 기술 문서에 공개적으로 공개되지 않습니다.