Security & Trust Jul 13, 2026 at 02:208Add to bookmarks

A tiny numerical regression opens a cross-browser fingerprinting path. In crypto as in tracking, there is no such thing as chance.
Since Chromium 148, Math.tanh returns low-order bits that vary depending on the underlying OS (macOS, Linux, Windows). Scrapfly published a writeup on July 12, 2026, showing that the OS can be reconstructed with a few calls - an exploitable fingerprinting vector without permission.
This is not a spectacular bug, it's the demonstration that any mathematical libc is a side-channel. TC39 has tolerated differences in the last bit on transcendental functions to allow optimizations to play. The price: every divergence becomes a signal.
Math.tanh(x) ultimately relies on the OS's libm (glibc, Apple's libm, msvcr). These implementations comply with IEEE 754 on the visible result, but differ on the final ULP bits. Chromium 148 changed its internal fallback: the values returned betray the underlying libm. Count ~5-10 calls to disambiguate the three major OSes with >95% confidence.
Don't patch Math.tanh - patch your threat model. Fingerprinting via numerical divergences will spread (Math.log, Math.pow…). The real protections are on the browser side: Firefox and Brave already normalize some results. Combined with canvas, WebGL, and audio, the signal increases the precision.
A Chromium patch normalizing tanh; the same technique on other transcendental functions; integration into commercial anti-bot libraries.
Article produced by artificial intelligence, reviewed under human editorial control.
Sign in to join the discussion.
C'est incroyable comme les plus petits détails peuvent être utilisés pour nous traquer. On n'est jamais tranquille.
Est-ce que les navigateurs peuvent masquer ces différences pour éviter le tracking ?
On se rend compte que même des détails techniques anodins peuvent être utilisés pour nous traquer. C'est inquiétant de voir à quel point nos données sont vulnérables.
Comment se protéger de ces méthodes de pistage invisibles ?
C'est fou comme un petit bug peut nuire à notre vie privée. On ne peut plus faire confiance à rien.
Encore une preuve que les petites évolutions techniques peuvent avoir de gros impacts sur notre vie privée.
On ne peut plus faire confiance aux navigateurs. Il faut exiger des comptes !
Ça veut dire qu'un petit bug peut permettre de nous tracer ? C'est un peu flippant.