AppXpose AppXpose
FILE 001 / TRACKERS / EVIDENCE LOG AKTE 001 / TRACKER / BEWEISPROTOKOLL
Issue No. 1 Ausgabe Nr. 1

Your phone is
talking. To
strangers.

Dein Handy
redet. Mit
Fremden.

The average Android app you installed today ships with 7 third-party tracker SDKs baked into its bytecode. AppXpose tears the app apart on your device and shows you exactly which ones, before they start phoning home.

Die durchschnittliche Android-App, die du heute installiert hast, liefert 7 Drittanbieter-Tracker-SDKs in ihrem Bytecode mit. AppXpose zerlegt die App direkt auf deinem Gerät und zeigt dir genau, welche es sind, bevor sie nach Hause telefonieren.

GET IT ON JETZT BEI Google Play Read the method → Methode lesen →
WATCH DEMO · TAP TO PLAY DEMO ANSEHEN · ANTIPPEN
EXPOSED ↓ ENTTARNT ↓
↓ EXPOSED ↓ ENTTARNT
google.firebase.analytics DETECTED ERKANNT facebook.appevents DETECTED ERKANNT com.adjust.sdk DETECTED ERKANNT com.appsflyer DETECTED ERKANNT io.branch.referral DETECTED ERKANNT com.onesignal DETECTED ERKANNT com.mixpanel.android DETECTED ERKANNT com.amplitude.api DETECTED ERKANNT com.crashlytics DETECTED ERKANNT com.huawei.hms DETECTED ERKANNT com.flurry.android DETECTED ERKANNT com.unity3d.ads DETECTED ERKANNT com.applovin.sdk DETECTED ERKANNT com.ironsource DETECTED ERKANNT com.tapjoy DETECTED ERKANNT com.singular.sdk DETECTED ERKANNT google.firebase.analytics DETECTED ERKANNT facebook.appevents DETECTED ERKANNT com.adjust.sdk DETECTED ERKANNT com.appsflyer DETECTED ERKANNT io.branch.referral DETECTED ERKANNT com.onesignal DETECTED ERKANNT com.mixpanel.android DETECTED ERKANNT com.amplitude.api DETECTED ERKANNT com.crashlytics DETECTED ERKANNT com.huawei.hms DETECTED ERKANNT com.flurry.android DETECTED ERKANNT com.unity3d.ads DETECTED ERKANNT com.applovin.sdk DETECTED ERKANNT com.ironsource DETECTED ERKANNT com.tapjoy DETECTED ERKANNT com.singular.sdk DETECTED ERKANNT
II. The evidence II. Die Belege

The Mozilla number below. Three more studies behind the link. Die Mozilla-Zahl unten. Drei weitere Studien hinter dem Link.

80%

of Google Play's privacy labels are inaccurate or incomplete.

der Datenschutz-Angaben bei Google Play sind ungenau oder unvollständig.

In 2023, Mozilla compared the Data Safety labels of the 40 most-downloaded apps on Google Play with their own privacy policies. For 16 of them, including Minecraft, Twitter and Facebook, the two documents didn't match. Store labels are self-declared. Nobody verifies them. Mozilla hat 2023 bei den 40 meistgeladenen Apps auf Google Play das Data-Safety-Label mit der eigenen Datenschutzerklärung verglichen. Bei 16 davon, darunter Minecraft, Twitter und Facebook, passten die beiden Dokumente nicht zusammen. Labels sind Selbstauskünfte. Nachgeprüft werden sie nicht.

Mozilla Foundation · February 2023 · "See No Evil" Mozilla Foundation · Februar 2023 · "See No Evil"

Read four studies → Vier Studien lesen →
III. Live corpus III. Live-Korpus

Real-time data from production. Every scan feeds the models. Echtzeit-Daten aus der Produktion. Jeder Scan trainiert die Modelle.

Full dossier → Vollständiges Dossier →
Connecting...
IV. Our data IV. Unsere Daten

3,745 apps scanned. Every chart from real production data. 3.745 Apps gescannt. Jede Grafik aus echten Produktionsdaten.

Full research → Zur Studie →
61.4%

of apps score MEDIUM or higher risk der Apps mit MEDIUM-Risiko oder höher

190

verified tracker signatures detected verifizierte Tracker-Signaturen erkannt

13.5

avg. trackers in finance apps (worst category) Tracker-Durchschnitt in Finanz-Apps (schlechteste Kategorie)

VI. Always-on protection / GUARD VI. Dauerhafte Überwachung / GUARD
€6,99 / month · €39,99 / year €6,99 / Monat · €39,99 / Jahr

Five alerts.
Watching the apps
while you don't.

Fünf Warnungen.
Überwachen deine Apps,
während du es nicht tust.

GUARD is the part of AppXpose that runs while you're not looking. Breach checks and tracker change detection are powered by the community: when any user scans an app, every GUARD user with the same app benefits. Permission changes, app removals, and signing certificate changes are monitored locally on your device. When something changes you get one clear notification.

GUARD ist der Teil von AppXpose, der läuft, während du nicht hinschaust. Breach-Prüfungen und Tracker-Änderungserkennung werden von der Community betrieben: Wenn ein Nutzer eine App scannt, profitiert jeder GUARD-Nutzer mit derselben App. Berechtigungsänderungen, App-Entfernungen und Zertifikatsänderungen werden lokal auf deinem Gerät überwacht. Wenn sich etwas ändert, bekommst du eine klare Benachrichtigung.

Get GUARD → GUARD holen →
A1
Breach Alert Breach-Warnung
Continuous Kontinuierlich
Our server checks developer domains against HIBP centrally. When a new breach is detected, every GUARD user with an affected app gets notified. You don't need to scan yourself. Unser Server prüft Entwickler-Domains zentral gegen HIBP. Wenn ein neuer Breach erkannt wird, wird jeder GUARD-Nutzer mit einer betroffenen App benachrichtigt. Du musst nicht selbst scannen.
A2
Tracker Change Alert Tracker-Änderungswarnung
Community-driven Community-gesteuert
When any AppXpose user scans an app and it has more trackers than the previous version, all GUARD users with that app are alerted. One scan protects everyone. Wenn ein AppXpose-Nutzer eine App scannt und sie mehr Tracker hat als die vorherige Version, werden alle GUARD-Nutzer mit dieser App benachrichtigt. Ein Scan schützt alle.
A3
Permission Change Alert Berechtigungsänderungs-Warnung
Every 24h Alle 24 Std.
A flashlight app suddenly wants your contacts? You hear about it the moment the manifest changes after an update. Eine Taschenlampen-App will plötzlich deine Kontakte? Du erfährst es in dem Moment, in dem sich das Manifest nach einem Update ändert.
A4
App Removed Alert App-Entfernungswarnung
Every 24h Alle 24 Std.
When Google pulls an app from the Play Store, you get the story. Usually before the news writes about it. Wenn Google eine App aus dem Play Store entfernt, erfährst du es. Meistens bevor die Nachrichten darüber berichten.
A5
Developer Change Alert Entwicklerwechsel-Warnung
Every 24h Alle 24 Std.
Apps get sold all the time. New owner means a different signing certificate. We monitor the cert and flag when it changes. Apps werden ständig verkauft. Neuer Besitzer bedeutet ein anderes Signaturzertifikat. Wir überwachen das Zertifikat und melden, wenn es sich ändert.
VII. Pricing VII. Preise

No tiers labelled "Enterprise". No "Contact sales". No upsells. Keine Tarife mit "Enterprise". Kein "Vertrieb kontaktieren". Keine Upsells.

Two plans.
Honest prices.

Zwei Tarife.
Ehrliche Preise.

T1
Free

For the curious.

Für die Neugierigen.

0 ex. tax zzgl. MwSt.
forever für immer
GET IT ON JETZT BEI Google Play
  • 5 scans per week
  • Basic scan results
  • Community verdict
  • Watch an ad for bonus scans
  • 5 Scans pro Woche
  • Basis-Scan-Ergebnisse
  • Community-Urteil
  • Werbung ansehen für Bonus-Scans
RECOMMENDED EMPFOHLEN
T2
GUARD

For the responsible.

Für die Verantwortungsbewussten.

6,99 ex. tax zzgl. MwSt.
monthly · 39,99 / year monatlich · 39,99 / Jahr
Subscribe → Abonnieren →
  • Unlimited scans
  • Scan up to 50 apps at once
  • App Library with full scan history
  • 5 background alerts
  • Community-powered breach + tracker alerts
  • Daily app diffs
  • No ads. Ever.
  • Cancel anytime
  • Unbegrenzte Scans
  • Bis zu 50 Apps gleichzeitig scannen
  • App-Bibliothek mit vollständiger Scan-Historie
  • 5 Hintergrund-Benachrichtigungen
  • Community-gestützte Breach- + Tracker-Warnungen
  • Tägliche App-Vergleiche
  • Keine Werbung. Nie.
  • Jederzeit kündbar

All prices shown without VAT. Final price including local taxes is calculated at checkout in Google Play. Alle Preise ohne MwSt. Der Endpreis inkl. lokaler Steuern wird beim Checkout in Google Play berechnet.

Billed via Google Play. Cancel anytime in Play → Subscriptions. Abrechnung über Google Play. Jederzeit kündbar unter Play → Abos.

VII. Frequent questions VII. Häufige Fragen

If yours isn't here, write us. We'll add it. Wenn deine Frage nicht dabei ist, schreib uns. Wir fügen sie hinzu.

What people
always ask first.

Was alle
zuerst fragen.

Q1

Does AppXpose upload my apps to a server?

Lädt AppXpose meine Apps auf einen Server hoch?

+
No. The DEX bytecode analysis runs entirely on your device. We only contact our edge for cached metadata (tracker signatures, breach status), and those requests are anonymized via HMAC-signed device fingerprints. No email, no Google account, no advertising ID. Nein. Die DEX-Bytecode-Analyse läuft vollständig auf deinem Gerät. Wir kontaktieren unseren Edge-Server nur für gecachte Metadaten (Tracker-Signaturen, Breach-Status), und diese Anfragen sind anonymisiert über HMAC-signierte Geräte-Fingerprints. Keine E-Mail, kein Google-Konto, keine Advertising ID.
Q2

How is this different from network ad blockers?

Wie unterscheidet sich das von Netzwerk-Adblockern?

+
Ad blockers stop network requests after they fire. AppXpose tells you which trackers are baked into the app itself, even ones that only fire on certain conditions. Diagnosis vs. treatment. Adblocker stoppen Netzwerkanfragen, nachdem sie abgefeuert wurden. AppXpose zeigt dir, welche Tracker in der App selbst eingebaut sind, auch solche, die nur unter bestimmten Bedingungen aktiv werden. Diagnose statt Behandlung.
Q3

Why pay if scanning is local?

Warum bezahlen, wenn der Scan lokal ist?

+
Only the bytecode analysis is local. Everything that makes the scan readable is server-side and AI-assisted: the paywall and monetization breakdown, the developer profile (who they are, where their servers live, GDPR posture), the risk score reasoning, the data-sharing probabilities, and the natural-language explanations next to every finding. Each scan triggers calls to LLM APIs, the HIBP proxy, the Exodus tracker database, and our cached signature store on Cloudflare D1. We also run five GUARD background workers and a community vote system. None of that runs for free. The free tier covers casual checks; Pro and GUARD cover people who want the full pipeline without rationing. Nur die Bytecode-Analyse ist lokal. Alles, was den Scan lesbar macht, ist serverseitig und KI-gestützt: die Paywall- und Monetarisierungs-Aufschlüsselung, das Entwicklerprofil (wer sie sind, wo ihre Server stehen, DSGVO-Status), die Risiko-Score-Begründung, die Wahrscheinlichkeiten der Datenweitergabe und die natürlichsprachlichen Erklärungen neben jedem Ergebnis. Jeder Scan löst Aufrufe an LLM-APIs, den HIBP-Proxy, die Exodus-Tracker-Datenbank und unseren gecachten Signatur-Store auf Cloudflare D1 aus. Wir betreiben außerdem fünf GUARD-Hintergrund-Worker und ein Community-Abstimmungssystem. Nichts davon läuft kostenlos. Der Free-Tarif deckt gelegentliche Prüfungen ab; Pro und GUARD sind für Menschen, die die volle Pipeline ohne Rationierung wollen.
Q4

Is the source code public?

Ist der Quellcode öffentlich?

+
Not yet. AppXpose is a solo project still in heavy development. The scan pipeline was rewritten multiple times in recent months because better detection approaches kept surfacing. Publishing it now would mean publishing a moving target. The plan: once the detection engine's interfaces stabilize (signature format, scoring inputs, pipeline boundaries), it gets opened. In the meantime, the full scoring model (the detection methodology, data sources, and architecture), detection methodology, data sources, and architecture are documented at appxpose.app/how-it-works. The code is closed. The methodology is not. Noch nicht. AppXpose ist ein Solo-Projekt, das sich noch in intensiver Entwicklung befindet. Die Scan-Pipeline wurde in den letzten Monaten mehrfach umgeschrieben, weil immer bessere Erkennungsansätze auftauchten. Sie jetzt zu veröffentlichen würde bedeuten, ein bewegliches Ziel zu veröffentlichen. Der Plan: Sobald die Schnittstellen der Erkennungs-Engine stabil sind (Signaturformat, Scoring-Inputs, Pipeline-Grenzen), wird sie geöffnet. In der Zwischenzeit sind das vollständige Scoring-Modell (die Erkennungsmethodik, Datenquellen und Architektur), die Erkennungsmethodik, Datenquellen und Architektur unter appxpose.app/how-it-works dokumentiert. Der Code ist geschlossen. Die Methodik nicht.
Q5

iOS version?

iOS-Version?

+
No. iOS's sandbox model prevents the kind of bytecode analysis AppXpose performs. It's Android-only and likely will stay that way. Nein. Das Sandbox-Modell von iOS verhindert die Art von Bytecode-Analyse, die AppXpose durchführt. Es ist nur für Android und wird es wahrscheinlich auch bleiben.
VIII. Final note VIII. Schlussbemerkung

Trust no app.
Verify them all.

Vertraue keiner App.
Prüfe sie alle.

AppXpose is free to install and free to try. Five scans a week, full results, no signup, no card. The whole thing took longer to download than to use.

AppXpose ist kostenlos zum Installieren und Ausprobieren. Fünf Scans pro Woche, vollständige Ergebnisse, keine Registrierung, keine Kreditkarte. Das Herunterladen dauert länger als die Nutzung.

GET IT ON JETZT BEI Google Play Read the method Methode lesen Browse scans Scans durchsuchen
END OF FILE 001 ENDE DER AKTE 001
⊕ FILED · INDEPENDENT · BERLIN ⊕ ABGELEGT · UNABHÄNGIG · BERLIN