Chromium 148: Math.tanh verrät nun Ihr Betriebssystem

Sicherheit & Vertrauen Jul 13, 2026 at 02:208Zu Lesezeichen hinzufügen

Chromium 148: Math.tanh verrät nun Ihr Betriebssystem
Illustration : Léa Fontaine

Eine winzige numerische Regression öffnet einen Weg für Cross-Browser-Fingerprinting. Der Zufall existiert in der Kryptographie wie im Tracking nicht.

Der Vorfall

Seit Chromium 148 gibt Math.tanh niedrigwertige Bits zurück, die je nach zugrunde liegendem Betriebssystem (macOS, Linux, Windows) variieren. Scrapfly veröffentlichte am 12. Juli 2026 einen Artikel, der zeigt, dass man das Betriebssystem mit einigen Aufrufen rekonstruieren kann - ein ausnutzbarer Fingerprinting-Vektor ohne Erlaubnis.

Unsere Analyse

Das ist kein spektakulärer Bug, es ist die Demonstration, dass jede mathematische libc ein Side-Channel ist. TC39 hat Unterschiede im letzten Bit bei transzendenten Funktionen toleriert, um Optimierungen zu ermöglichen. Der Preis: Jede Abweichung wird zu einem Signal.

Under the hood

Math.tanh(x) stützt sich letztlich auf die libm des Betriebssystems (glibc, Apple's libm, msvcr). Diese Implementierungen halten sich an IEEE 754 für das sichtbare Ergebnis, unterscheiden sich aber in den letzten ULP-Bits. Chromium 148 hat seinen internen Fallback geändert: Die zurückgegebenen Werte verraten die zugrunde liegende libm. Es braucht ~5-10 Aufrufe, um die drei großen Betriebssysteme mit >95 % Konfidenz zu unterscheiden.

So what

Patches Sie nicht Math.tanh - patchen Sie Ihr Bedrohungsmodell. Fingerprinting über numerische Abweichungen wird sich verbreiten (Math.log, Math.pow…). Die echten Schutzmaßnahmen sind auf der Browserseite: Firefox und Brave normalisieren bereits bestimmte Ergebnisse. Zusammen mit Canvas, WebGL und Audio erhöht das Signal die Genauigkeit.

Zu beobachten

Ein Chromium-Patch, der tanh normalisiert; dieselbe Technik auf anderen transzendenten Funktionen; die Integration in kommerzielle Anti-Bot-Bibliotheken.

Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.

Unsere Redaktion
Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

SSHMonitoringAI Ops
Get early access
War dieser Artikel hilfreich?

11 Personen gefiel dieser Artikel

Gefällt mir
S
Sofia AdlerSicherheit & Vertrauen
🇩🇪 KI-Sicherheit, Modellzuverlässigkeit, Cyber.
Teilen:
Kommentare (8)

Melden Sie sich an, um an der Diskussion teilzunehmen.

LitLover42 13 Jul 2026 · 13:32

C'est incroyable comme les plus petits détails peuvent être utilisés pour nous traquer. On n'est jamais tranquille.

unLecteurCurieux 13 Jul 2026 · 05:52

Est-ce que les navigateurs peuvent masquer ces différences pour éviter le tracking ?

FilmBuffNYC 13 Jul 2026 · 05:28

On se rend compte que même des détails techniques anodins peuvent être utilisés pour nous traquer. C'est inquiétant de voir à quel point nos données sont vulnérables.

1
ArtLover88 13 Jul 2026 · 05:06

Comment se protéger de ces méthodes de pistage invisibles ?

ArtLover99 13 Jul 2026 · 05:04

C'est fou comme un petit bug peut nuire à notre vie privée. On ne peut plus faire confiance à rien.

1
ph1lippe_m 13 Jul 2026 · 05:04

Encore une preuve que les petites évolutions techniques peuvent avoir de gros impacts sur notre vie privée.

Emma_London 13 Jul 2026 · 04:47

On ne peut plus faire confiance aux navigateurs. Il faut exiger des comptes !

Alex_London 13 Jul 2026 · 04:31

Ça veut dire qu'un petit bug peut permettre de nous tracer ? C'est un peu flippant.

Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

Get early access
Themen
Erkunden
Informationen