Blog · Sicherheitshinweis · Aktualisiert am 14. Juli 2026

ModHeader-Malware entfernen: Deinstallation, Datenreste löschen, Risiken absichern

Anfang Juli 2026 stufte Google ModHeader v7.0.18 als Malware ein und Microsoft nahm die Extension aus dem Edge-Store, nachdem Researcher ein verstecktes Datensammel-SDK gemeldet hatten. Das hier ist eine nüchterne Cleanup-Checkliste ohne Drama: prüfen, ob du betroffen bist, die Extension entfernen, Datenreste auf Mac und Windows löschen und absichern, worauf sie Zugriff gehabt haben könnte.

Diese Anleitung ist so geschrieben, dass sie dir hilft — egal, ob du am Ende VibeHeader nutzt oder nicht. Alle Aussagen über ModHeader weiter unten stammen von Google, Microsoft und den unabhängigen Researchern, die unter Quellen verlinkt sind — nichts davon ist unsere eigene Analyse. Wenn Chrome oder Edge die Extension bei dir schon deaktiviert hat, ist das ein klares Zeichen, dass das Cleanup unten auf dich zutrifft.

Wenig Zeit? Die wichtigsten Schritte in der richtigen Reihenfolge (Details weiter unten):

  1. Die Extension aus Chrome und Edge entfernen.
  2. Auf Mac oder Windows die verbliebenen Speicherordner löschen.
  3. api.stanfordstudies.com blockieren — per DNS oder hosts-Datei.
  4. Alle Secrets rotieren, die du dort eingefügt hast.

Was gemeldet wurde (die 60-Sekunden-Version)

Wenn ModHeader bei dir noch installiert ist, lautet die allgemein empfohlene Maßnahme: entfernen. So machst du das sauber.

Schritt 1 — Prüfen, ob du betroffen bist

Öffne chrome://extensions (und edge://extensions, falls du Edge nutzt) und aktiviere den Entwicklermodus, damit die Versionsnummern angezeigt werden.

Zeigt der Chrome-Sicherheitscheck bereits „Diese Erweiterung enthält Malware“, bist du hier richtig — klick die Warnung nicht einfach weg, sondern zieh das Cleanup unten komplett durch. So sieht die Warnung aus:

Chromes Sicherheitscheck für Erweiterungen markiert 'ModHeader - Modify HTTP headers' mit 'Diese Erweiterung enthält Malware' und empfiehlt die Entfernung
Chromes Sicherheitscheck stuft ModHeader als Malware ein und empfiehlt die Entfernung.

Schritt 2 — Extension entfernen (Chrome und Edge)

  1. chrome://extensions öffnen → ModHeader suchen → Entfernen klicken → bestätigen. Dasselbe unter edge://extensions wiederholen.
  2. Hat der Browser die Extension bereits deaktiviert, lass sie deaktiviert und klicke trotzdem auf Entfernen — Deaktivieren stoppt nur die Ausführung, die gecachten Daten bleiben erhalten.
  3. Führe das in jedem Browser-Profil durch, in dem die Extension installiert war (jedes Chrome-Profil ist eigenständig).

Schritt 3 — Verbliebene lokale Daten löschen

Die Deinstallation räumt normalerweise das meiste weg, aber die gecachten Daten der Extension — laut Researchern konnten das deutlich über 100 MB an gespeicherten Request-/Response-Headern sein, potenziell inklusive Tokens und Cookies — können zurückbleiben. Lösche zur Sicherheit alle der folgenden Ordner, die noch existieren. Ersetze Default durch deinen tatsächlichen Profilordner (prüfe auch Profile 1, Profile 2, …).

macOS

Unter ~/Library/Application Support/Google/Chrome/ (bei Edge entsprechend unter Microsoft Edge):

Windows

Unter %LOCALAPPDATA%\Google\Chrome\User Data\ (Edge: %LOCALAPPDATA%\Microsoft\Edge\User Data\):

Beende den Browser vollständig, bevor du diese Ordner löschst — sonst sind die Dateien womöglich gesperrt.

💡 Tipp: Überlass den Sweep einem Coding-Agent. Wenn du einen Coding-Agent wie Claude Code oder Codex nutzt, füge einfach die URL dieser Anleitung (oder die Ordnerliste oben) ein und lass ihn die verbliebenen ModHeader-Ordner über alle deine Browser-Profile hinweg aufspüren und entfernen — besonders praktisch, wenn du mehrere Profile hast und Angst hast, eines zu übersehen. Zwei Sicherheitshinweise: Browser vorher komplett beenden, und lass den Agent erst auflisten, was er gefunden hat, und auf deine Bestätigung warten, bevor er irgendetwas löscht.

Schritt 4 — Exfiltrations-Domain blockieren

Blockiere und protokolliere den Collector, damit ihn nichts mehr erreichen kann — auch keine übrig gebliebene gecachte Kopie:

Schritt 5 — Alles Sensible rotieren, was du der Extension gegeben hast

Da die Extension die Header lesen und speichern konnte, die durch deinen Browser liefen, behandle alles, was du regelmäßig dort eingefügt hast, als potenziell exponiert und stelle es neu aus:

Angesichts des gemeldeten Ruhezustands ist das eine Vorsichtsmaßnahme — aber ein Token zu rotieren ist eine billige Versicherung, verglichen mit der Annahme, dass schon alles gut geht.

Indicators of Compromise (für Security- / IT-Teams)

Sucht auf verwalteten Endpoints nach den folgenden Indikatoren. Am stärksten belegt sind Extension-ID, Version, Exfil-Endpoint und der getarnte Dateiname; mit (laut Bericht) markierte Einträge stammen aus dem ursprünglichen Reverse-Engineering-Write-up und sind der Vollständigkeit halber aufgeführt.

TypIndikator
Extension-IDidgpnmonknjnojddfkpgkljpfnnfcklj
Version7.0.18
Netzwerk (Exfil)ausgehender POST an api.stanfordstudies.com/app/log
Domainapi.stanfordstudies.com, stanfordstudies.com
Getarnte Dateidayjs.min-*.js (Datensammel-SDK)
Zugehörige Datei (laut Bericht)background-94ad634d.js
Hartkodierter AES-Key (laut Bericht)aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE
Fingerprint-Salt (laut Bericht)mod盐header

Gemeldetes Verhalten: Sammlung nur der Domains (keine vollständigen URLs, keine Cookie-Werte, keine Passwörter), AES-GCM-Verschlüsselung, ein gebündelter Upload pro Tag mit pro Gerät randomisiertem Zeitplan, keine Remote-Code-Ausführung und kein Nachladen externer Scripts.

FAQ

Wurden meine Browserdaten tatsächlich gestohlen?

Laut den Researchern, die Build 7.0.18 reverse-engineert haben, wurde der Collector im Ruhezustand hinter einer leeren Allowlist ausgeliefert — in ihrer Testumgebung wurde also nichts nach außen gesendet. Endpoint, Key und Scheduler waren aber vorhanden, ein späteres Update hätte alles aktivieren können. Behandle es als reales Expositionsrisiko, nicht als bestätigten Leak: Extension entfernen, Daten löschen und die Secrets rotieren, die du dort eingefügt hast.

Chrome hat die Extension schon deaktiviert — bin ich damit fertig?

Nicht ganz. Deaktivieren stoppt nur die Ausführung, löscht aber nicht die lokal gecachten Daten (laut Berichten deutlich über 100 MB an gespeicherten Headern, Tokens und Cookies). Entferne sie vollständig und lösche die verbliebenen Speicherordner aus Schritt 3.

Welche Version war betroffen?

Researcher haben das versteckte SDK dem Build 7.0.18 zugeordnet (ID idgpnmonknjnojddfkpgkljpfnnfcklj). Google stufte die Extension Anfang Juli 2026 als Malware ein und deaktivierte sie, Microsoft entfernte sie aus dem Edge-Store.

Was soll ich stattdessen nutzen?

Wähle einen Header-Editor, der leichtgewichtig, MV3-nativ und werbefrei ist, keine Analytics einsetzt und nur die wirklich nötigen Berechtigungen anfordert. VibeHeader ist genau so gebaut (und wird gerade Open Source gestellt, damit der Code auditierbar ist); Requestly und Header Editor (englisch) sind weitere gepflegte Optionen für schwerere Rule-Engines.

Falls du einen Header-Editor als Ersatz brauchst

Zum Testen wirst du weiterhin Header ändern müssen — die eigentliche Frage ist also, wem du als Nächstes vertraust. Die Checkliste, die zählt: ein kleiner, fokussierter Funktionsumfang; Manifest-V3-nativ; keine Werbung und keine Analytics; Berechtigungen, die man wirklich nachvollziehen kann; und ein Sharing-Modell, das deine Configs nicht über fremde Server leitet.

VibeHeader wurde genau nach dieser Spezifikation gebaut: keine Werbung, kein Tracking, und linkbasiertes Teilen, das die Config im URL-Fragment (#c=) codiert — sie wird in deinem Browser verarbeitet und nichts wird an einen Server gesendet. Außerdem wird der Code gerade Open Source gestellt, du musst uns also nicht einfach glauben. Die ganze Geschichte und weitere gepflegte Optionen findest du im Bericht des Gründers (englisch) und im Vergleich der ModHeader-Alternativen (englisch).

Die VibeHeader-Oberfläche: eine aufgeräumte Liste von HTTP-Header-Regeln mit Share-Link-Button, ohne Werbung
VibeHeader: ein fokussierter Header-Editor mit Ein-Klick-Link-Sharing, ohne Werbung und ohne Analytics.

Kein Druck — das Ziel dieser Seite ist, dass du sauber aufräumst, egal worauf du am Ende wechselst.

Quellen

Alle Aussagen über ModHeader auf dieser Seite sind Google, Microsoft und den oben verlinkten Researchern zugeschrieben. Mit „(laut Bericht)“ markierte Indikatoren stammen aus dem HackIndex-Write-up und wurden von uns nicht unabhängig verifiziert.