These are not estimates. These are not based on privacy labels or developer declarations. Every number in this post comes from scanning the actual APK bytecode, matching compiled classes against verified tracker signatures, and counting what we find.
The AppXpose corpus contains over 3,745 scanned apps. The tracker counts below come directly from that dataset. If you are not sure what a tracker SDK actually is and how it ends up in your apps, start there.
Here are the 15 apps with the highest tracker counts we have found so far.
1. Match Masters
41 trackers. Risk score: LOW.
The highest tracker count in our entire corpus belongs to a casual puzzle game. Match Masters ships with 41 distinct tracking SDKs: attribution platforms, ad mediation networks, analytics providers, and crash reporters. The reason the risk score is still LOW is that the trackers are almost entirely advertising SDKs. The app does not request dangerous permissions beyond what a game needs.
This is an important distinction. Tracker count is not the same as risk. A game loaded with ad SDKs is different from a health app with 15 trackers and microphone access.
2. Doc Scanner
35 trackers. Risk score: HIGH.
A document scanner with 35 tracking libraries is harder to justify than a game. Scanners handle sensitive content: contracts, IDs, medical records. The combination of high tracker density and access to your camera and storage pushes this into HIGH risk territory.
3. BestPlay
34 trackers. Risk score: HIGH.
A video streaming app packed with 34 SDKs, most of them advertising and analytics trackers. HIGH risk comes from the combination of tracker count, broad permissions, and limited developer transparency.
4. Canva
31 trackers. Risk score: MEDIUM.
Canva is a mainstream design tool used by millions. It ships with 31 tracker SDKs, including analytics, attribution, and advertising libraries. The MEDIUM risk score reflects that most of these serve legitimate product functions, but the sheer number means your usage patterns are shared with dozens of third parties.
5. AI Browser - Safe & Fast
30 trackers. Risk score: HIGH.
The name promises safety. The bytecode delivers 30 tracking SDKs. This is one of the starkest examples in our corpus. A browser has access to every URL you visit, every search query, every form you fill out. Combining that access level with 30 tracker libraries makes the name read more like irony than marketing.
6. Samsung Health
29 trackers. Risk score: MEDIUM.
A health app from a major manufacturer. Samsung Health ships with 29 trackers, including analytics, advertising, and attribution SDKs. Health apps collect some of the most sensitive data on your phone: heart rate, sleep patterns, exercise habits, weight. That data flowing through 29 third-party libraries is worth knowing about.
7. Angel (The Chosen)
27 trackers. Risk score: HIGH.
A streaming app for a religious media franchise. 27 trackers is aggressive for a content consumption app. The HIGH risk score comes from the tracker count combined with broad permission requests that go beyond what a video player needs.
8. Plague Inc.
26 trackers. Risk score: MEDIUM.
A popular simulation game with 26 advertising and analytics SDKs. The pattern is similar to Match Masters: heavy ad monetization means heavy tracker density. MEDIUM risk because the permissions stay within expected bounds for a game.
9. Musicstre.am
25 trackers. Risk score: HIGH.
A music streaming app with 25 tracking libraries and a HIGH risk assessment. The combination of tracker count, permission scope, and limited developer information drives the score.
10. TikTok
14 known trackers. Risk score: HIGH.
TikTok’s tracker count is lower than the apps above, but it makes this list because of what those trackers do in combination with the app’s permissions. TikTok requests access to camera, microphone, contacts, location, and clipboard. ByteDance’s data handling practices have been the subject of multiple government investigations across the US, EU, and Australia. The HIGH risk score is not about tracker count alone. It is about the combination of access, data volume, and jurisdiction.
11. Instagram
Multiple Meta trackers. Risk score: HIGH.
A 2022 Oxford study found Instagram collects 79% more data than it needs to function. Our scan results for Instagram confirm multiple analytics and advertising SDKs from Meta’s ecosystem. As with all Meta apps, the tracking infrastructure is deeply integrated into the app’s core functionality, not bolted on as an afterthought.
12. Facebook
Most tracked social app in our corpus. Risk score: HIGH.
Facebook’s scan results show the densest tracking profile of any social media app we have analyzed. Multiple ad networks, analytics providers, and Meta’s own behavioral tracking infrastructure. The app has been documented by Mozilla, Oxford, and multiple independent audits as one of the most data-intensive consumer applications on Android.
13. AliExpress
Aggressive shopping tracker profile. Risk score: MEDIUM.
Shopping apps are the second most tracker-dense category in our corpus, averaging 11.3 trackers per app. AliExpress sits above that average with a combination of advertising, analytics, and attribution SDKs. The app requests location access, which is common for delivery apps but also feeds geotargeted advertising.
14. Spotify
Analytics heavy. Risk score: MEDIUM.
Spotify’s scan results show multiple analytics and attribution SDKs. For a music app, the tracker density is notable. Every song you play, every playlist you create, every skip and repeat becomes a data point shared across multiple third-party analytics providers.
Shopping category leader. Risk score: MEDIUM.
In our corpus, 94% of shopping apps request camera access. Amazon Shopping follows this pattern. The combination of purchase history, browsing behavior, and device identifiers flowing through multiple advertising and analytics SDKs makes this one of the more data-intensive apps in the shopping category.
What These Numbers Mean
High tracker count does not automatically mean HIGH risk. Match Masters has 41 trackers and a LOW risk score. The scoring model evaluates context: what the trackers do, what permissions they combine with, whether the developer is transparent, and whether there is breach history.
A game with 41 ad SDKs is annoying but relatively low-stakes. A health app with 15 trackers and microphone access is a different calculation entirely. A browser with 30 trackers has access to everything you do online. The same number means different things in different apps.
You can explore the full research data covering 3,745 analyzed apps to see how tracker counts distribute across categories. You can also read about how the detection pipeline and scoring model works to understand what goes into each risk assessment.
If you want to check where your own apps rank, AppXpose scans the bytecode directly. No estimates, no self-reported labels, no guesswork. You can also find hidden trackers with a detailed walkthrough if you prefer a manual approach.
AppXpose is free on Google Play. Five scans a week, full results, no account required.
Das sind keine Schätzungen. Das basiert nicht auf Datenschutz-Labels oder Entwickler-Angaben. Jede Zahl in diesem Post kommt aus dem Scannen des tatsächlichen APK-Bytecodes, dem Abgleich kompilierter Klassen mit verifizierten Tracker-Signaturen und dem Zählen dessen, was wir finden.
Der AppXpose-Korpus enthält über 3.745 gescannte Apps. Die Tracker-Zahlen unten stammen direkt aus diesem Datensatz. Wenn du nicht sicher bist, was ein Tracker-SDK eigentlich ist und wie es in deine Apps gelangt, fang dort an.
Hier sind die 15 Apps mit den höchsten Tracker-Zahlen, die wir bisher gefunden haben.
1. Match Masters
41 Tracker. Risiko-Score: LOW.
Die höchste Tracker-Anzahl in unserem gesamten Korpus gehört einem Casual-Puzzlespiel. Match Masters liefert 41 verschiedene Tracking-SDKs mit: Attributions-Plattformen, Ad-Mediations-Netzwerke, Analytics-Anbieter und Crash-Reporter. Der Grund, warum der Risiko-Score trotzdem LOW ist: Die Tracker sind fast ausschließlich Werbe-SDKs. Die App fordert keine gefährlichen Berechtigungen über das hinaus, was ein Spiel braucht.
Das ist eine wichtige Unterscheidung. Tracker-Anzahl ist nicht dasselbe wie Risiko. Ein Spiel voller Werbe-SDKs ist etwas anderes als eine Gesundheits-App mit 15 Trackern und Mikrofon-Zugriff.
2. Doc Scanner
35 Tracker. Risiko-Score: HIGH.
Ein Dokumenten-Scanner mit 35 Tracking-Bibliotheken ist schwerer zu rechtfertigen als ein Spiel. Scanner verarbeiten sensible Inhalte: Verträge, Ausweise, Arztberichte. Die Kombination aus hoher Tracker-Dichte und Zugriff auf Kamera und Speicher schiebt das in HIGH-Risiko-Territorium.
3. BestPlay
34 Tracker. Risiko-Score: HIGH.
Eine Video-Streaming-App, vollgepackt mit 34 SDKs, die meisten davon Werbe- und Analytics-Tracker. HIGH-Risiko ergibt sich aus der Kombination von Tracker-Anzahl, breiten Berechtigungen und begrenzter Entwickler-Transparenz.
4. Canva
31 Tracker. Risiko-Score: MEDIUM.
Canva ist ein Mainstream-Design-Tool, das Millionen nutzen. Es liefert 31 Tracker-SDKs mit, darunter Analytics-, Attributions- und Werbe-Bibliotheken. Der MEDIUM-Risiko-Score spiegelt wider, dass die meisten davon legitimen Produktfunktionen dienen. Aber die schiere Anzahl bedeutet, dass deine Nutzungsmuster mit Dutzenden Dritten geteilt werden.
5. AI Browser - Safe & Fast
30 Tracker. Risiko-Score: HIGH.
Der Name verspricht Sicherheit. Der Bytecode liefert 30 Tracking-SDKs. Das ist eines der krassesten Beispiele in unserem Korpus. Ein Browser hat Zugriff auf jede URL, die du besuchst, jede Suchanfrage, jedes Formular, das du ausfüllst. Dieses Zugangsniveau mit 30 Tracker-Bibliotheken zu kombinieren, lässt den Namen eher wie Ironie klingen als wie Marketing.
6. Samsung Health
29 Tracker. Risiko-Score: MEDIUM.
Eine Gesundheits-App von einem großen Hersteller. Samsung Health liefert 29 Tracker mit, darunter Analytics-, Werbe- und Attributions-SDKs. Gesundheits-Apps sammeln einige der sensibelsten Daten auf deinem Handy: Herzfrequenz, Schlafmuster, Sportgewohnheiten, Gewicht. Dass diese Daten durch 29 Drittanbieter-Bibliotheken fließen, ist wissenswert.
7. Angel (The Chosen)
27 Tracker. Risiko-Score: HIGH.
Eine Streaming-App für ein religiöses Medien-Franchise. 27 Tracker sind aggressiv für eine Inhalte-Konsum-App. Der HIGH-Risiko-Score ergibt sich aus der Tracker-Anzahl in Kombination mit breiten Berechtigungsanfragen, die über das hinausgehen, was ein Video-Player braucht.
8. Plague Inc.
26 Tracker. Risiko-Score: MEDIUM.
Ein beliebtes Simulationsspiel mit 26 Werbe- und Analytics-SDKs. Das Muster ist ähnlich wie bei Match Masters: Starke Ad-Monetarisierung bedeutet hohe Tracker-Dichte. MEDIUM-Risiko, weil die Berechtigungen im erwarteten Rahmen für ein Spiel bleiben.
9. Musicstre.am
25 Tracker. Risiko-Score: HIGH.
Eine Musik-Streaming-App mit 25 Tracking-Bibliotheken und einer HIGH-Risiko-Bewertung. Die Kombination aus Tracker-Anzahl, Berechtigungsumfang und begrenzten Entwickler-Informationen treibt den Score.
10. TikTok
14 bekannte Tracker. Risiko-Score: HIGH.
TikToks Tracker-Anzahl ist niedriger als bei den Apps oben, aber es steht auf dieser Liste wegen dem, was diese Tracker in Kombination mit den App-Berechtigungen tun. TikTok fordert Zugriff auf Kamera, Mikrofon, Kontakte, Standort und Zwischenablage. ByteDances Datenverarbeitungspraktiken waren Gegenstand mehrerer Regierungsuntersuchungen in den USA, der EU und Australien. Der HIGH-Risiko-Score geht nicht nur um die Tracker-Anzahl. Es geht um die Kombination aus Zugriff, Datenvolumen und Zuständigkeit.
11. Instagram
Mehrere Meta-Tracker. Risiko-Score: HIGH.
Eine Oxford-Studie von 2022 fand heraus, dass Instagram 79% mehr Daten sammelt als für die Funktion nötig. Unsere Scan-Ergebnisse für Instagram bestätigen mehrere Analytics- und Werbe-SDKs aus Metas Ökosystem. Wie bei allen Meta-Apps ist die Tracking-Infrastruktur tief in die Kernfunktionalität der App integriert, nicht nachträglich angeheftet.
12. Facebook
Meist getrackte Social-App in unserem Korpus. Risiko-Score: HIGH.
Facebooks Scan-Ergebnisse zeigen das dichteste Tracking-Profil aller Social-Media-Apps, die wir analysiert haben. Mehrere Werbenetzwerke, Analytics-Anbieter und Metas eigene Verhaltens-Tracking-Infrastruktur. Die App wurde von Mozilla, Oxford und mehreren unabhängigen Audits als eine der datenintensivsten Verbraucher-Anwendungen auf Android dokumentiert.
13. AliExpress
Aggressives Shopping-Tracker-Profil. Risiko-Score: MEDIUM.
Shopping-Apps sind die zweit-tracker-dichteste Kategorie in unserem Korpus mit durchschnittlich 11,3 Trackern pro App. AliExpress liegt über diesem Durchschnitt mit einer Kombination aus Werbe-, Analytics- und Attributions-SDKs. Die App fordert Standort-Zugriff an, was bei Liefer-Apps üblich ist, aber auch gezielte Werbung mit Standortdaten füttert.
14. Spotify
Analytics-lastig. Risiko-Score: MEDIUM.
Spotifys Scan-Ergebnisse zeigen mehrere Analytics- und Attributions-SDKs. Für eine Musik-App ist die Tracker-Dichte bemerkenswert. Jeder Song, den du spielst, jede Playlist, die du erstellst, jedes Überspringen und Wiederholen wird zu einem Datenpunkt, der über mehrere Drittanbieter-Analytics-Provider geteilt wird.
Shopping-Kategorie-Spitzenreiter. Risiko-Score: MEDIUM.
In unserem Korpus fordern 94% der Shopping-Apps Kamera-Zugriff an. Amazon Shopping folgt diesem Muster. Die Kombination aus Kaufhistorie, Browsing-Verhalten und Geräte-Kennungen, die durch mehrere Werbe- und Analytics-SDKs fließen, macht dies zu einer der datenintensivsten Apps in der Shopping-Kategorie.
Was diese Zahlen bedeuten
Hohe Tracker-Anzahl bedeutet nicht automatisch HIGH-Risiko. Match Masters hat 41 Tracker und einen LOW-Risiko-Score. Das Bewertungsmodell bewertet den Kontext: was die Tracker tun, mit welchen Berechtigungen sie kombiniert werden, ob der Entwickler transparent ist und ob es eine Datenleck-Historie gibt.
Ein Spiel mit 41 Werbe-SDKs ist nervig, aber relativ risikoarm. Eine Gesundheits-App mit 15 Trackern und Mikrofon-Zugriff ist eine ganz andere Rechnung. Ein Browser mit 30 Trackern hat Zugriff auf alles, was du online tust. Dieselbe Zahl bedeutet in verschiedenen Apps verschiedene Dinge.
Du kannst die vollständigen Forschungsdaten aus 3.745 analysierten Apps durchsuchen, um zu sehen, wie sich Tracker-Zahlen über Kategorien verteilen. Du kannst auch nachlesen, wie die Erkennungs-Pipeline und das Bewertungsmodell funktionieren, um zu verstehen, was in jede Risikobewertung einfließt.
Wenn du prüfen willst, wo deine eigenen Apps stehen, scannt AppXpose den Bytecode direkt. Keine Schätzungen, keine selbst angegebenen Labels, kein Raten. Du kannst auch versteckte Tracker mit einer ausführlichen Anleitung finden, wenn du einen manuellen Ansatz bevorzugst.
AppXpose ist kostenlos im Google Play Store. Fünf Scans pro Woche, vollständige Ergebnisse, kein Account nötig.
