AppXpose AppXpose
← All posts ← Alle Beiträge
· AppXpose · App Audit · Tracker Count · Android Privacy · Permission Creep

I scanned 47 apps on my phone. Here's what I found. Ich habe 47 Apps auf meinem Handy gescannt. Hier ist, was ich gefunden habe.

A full weekend audit of every app on a normal Android phone. 47 apps, 211 trackers, and a permission count that would make most people uncomfortable. Ein komplettes Wochenend-Audit aller Apps auf einem normalen Android-Handy. 47 Apps, 211 Tracker, und Berechtigungen die nachdenklich machen.

Last weekend I sat down with my own phone, scrolled through every single app I had installed, and ran each one through a static analyzer. No filtering, no curating. The flashlight my partner installed five years ago. The travel app I used for one trip in 2024. The bank. The newspaper. All of it.

47 apps total. Here is what came out the other side. (If you want to understand what a tracker is and why it matters, start there.)

The numbers

  • 312 unique tracker SDKs detected across all 47 apps (for context, our full research dataset covers 3,745 apps)
  • 6.6 average trackers per app
  • 2 apps had zero trackers (both calculator clones)
  • 1 app had 19 (a free puzzle game I download once and forgot about)
  • 41 apps requested at least one “dangerous” permission
  • 8 apps wanted access to my contacts and could give no reason for it

That last number is the one that bothered me most. Eight apps. None of them were messaging apps or anything where contacts are obviously the point.

The usual suspects

The same names showed up over and over again. Firebase. Crashlytics. Facebook Login. Adjust. AppsFlyer. None of them are illegal. Most of them are technically useful to the developer in some way. The problem is not that any one tracker is malicious. The problem is that you opened 47 apps and silently agreed to be reported on by 30+ third parties, none of whom you have ever heard of.

The committee analogy keeps coming back to me. Nobody on that committee is a villain. They are just doing their small part of a much larger picture, and they were all hired without your input.

The flashlight

My partner’s flashlight had 11 trackers. Eleven. For an app that turns the camera LED on and off.

I checked the developer. Single-person studio in Eastern Europe. The app makes its money by selling installs to ad networks, which is fine, but the SDKs they ship to do that include four different attribution platforms, two analytics providers, an A/B testing framework, an in-app messaging tool, and a crash reporter. Each one is a network call, a device fingerprint, a small fact about my partner being shared somewhere they cannot trace.

We deleted it. The phone has a flashlight built in.

What I changed

After the audit:

  • Deleted 8 apps outright. Not because they were spyware, just because the cost-benefit was wrong now that I could see the cost.
  • Disabled location for three apps that did not need it. The weather app does not need real-time location. It needs the city.
  • Replaced two apps with privacy-respecting alternatives. The two were a calendar (replaced with the OS one) and a podcast app (replaced with one that does not phone home).
  • Stopped installing apps casually. Now I run a scan first. AppXpose explains how its tracker detection and risk scoring works if you want to understand what goes into each result.

What I am not going to tell you

I am not going to tell you which apps to delete. The audit is personal. An app that bothers me may be fine for you. The point is the audit itself. You cannot make a real decision about an app you have never looked inside.

If you have an Android phone and you have never done this, set aside 20 minutes this week. Pick 5 apps you open every day. Find out what they actually contain. Decide whether you still want them.

The number you come back with will probably surprise you. Mine did. If you want a head start, check the scan results for Instagram or Spotify to see what two of the most popular apps actually contain.

Letztes Wochenende habe ich mich mit meinem eigenen Handy hingesetzt, durch jede einzelne App gescrollt, die ich installiert hatte, und jede durch einen statischen Analyser laufen lassen. Kein Filtern, kein Aussortieren. Die Taschenlampe, die mein Partner vor fünf Jahren installiert hat. Die Reise-App, die ich für eine einzige Reise 2024 genutzt habe. Die Bank. Die Zeitung. Alles.

47 Apps insgesamt. Hier ist, was am Ende rauskam.

Die Zahlen

  • 312 unterschiedliche Tracker-SDKs über alle 47 Apps hinweg gefunden
  • 6,6 Tracker pro App im Durchschnitt
  • 2 Apps hatten null Tracker (beide waren Taschenrechner-Klone)
  • 1 App hatte 19 (ein kostenloses Puzzle-Spiel, das ich einmal heruntergeladen und vergessen hatte)
  • 41 Apps forderten mindestens eine „gefährliche” Berechtigung an
  • 8 Apps wollten Zugriff auf meine Kontakte und konnten keinen Grund dafür angeben

Diese letzte Zahl hat mich am meisten gestört. Acht Apps. Keine davon war eine Messaging-App oder irgendwas, wo Kontakte offensichtlich der Punkt sind.

Die üblichen Verdächtigen

Dieselben Namen tauchten immer wieder auf. Firebase. Crashlytics. Facebook Login. Adjust. AppsFlyer. Keiner davon ist illegal. Die meisten sind für den Entwickler in irgendeiner Weise technisch nützlich. Das Problem ist nicht, dass ein einzelner Tracker bösartig wäre. Das Problem ist, dass du 47 Apps geöffnet hast und stillschweigend zugestimmt hast, von 30+ dritten Parteien überwacht zu werden, von denen du noch nie gehört hast.

Die Ausschuss-Analogie kommt mir immer wieder in den Sinn. Niemand in diesem Ausschuss ist ein Schurke. Sie machen nur ihren kleinen Teil eines viel größeren Bildes, und sie wurden alle ohne deine Zustimmung eingestellt.

Die Taschenlampe

Die Taschenlampe meines Partners hatte 11 Tracker. Elf. Für eine App, die die Kamera-LED ein- und ausschaltet.

Ich habe den Entwickler überprüft. Ein-Personen-Studio in Osteuropa. Die App verdient ihr Geld, indem sie Installationen an Werbenetzwerke verkauft, was in Ordnung ist, aber die SDKs, die sie dafür ausliefern, umfassen vier verschiedene Attribution-Plattformen, zwei Analyse-Anbieter, ein A/B-Testing-Framework, ein In-App-Messaging-Tool und einen Crash-Reporter. Jedes davon ist ein Netzwerkaufruf, ein Geräte-Fingerprint, ein kleines Faktum über meinen Partner, das irgendwo geteilt wird, wo es nicht zurückzuverfolgen ist.

Wir haben sie gelöscht. Das Handy hat eine eingebaute Taschenlampe.

Was ich geändert habe

Nach dem Audit:

  • 8 Apps komplett gelöscht. Nicht weil sie Spyware wären, sondern weil das Kosten-Nutzen-Verhältnis falsch war, jetzt wo ich die Kosten sehen konnte.
  • Standort deaktiviert für drei Apps, die ihn nicht brauchten. Die Wetter-App braucht keinen Echtzeit-Standort. Sie braucht die Stadt.
  • Zwei Apps ersetzt durch datenschutzfreundliche Alternativen. Die zwei waren ein Kalender (ersetzt durch den vom Betriebssystem) und eine Podcast-App (ersetzt durch eine, die nicht nach Hause telefoniert).
  • Aufgehört, leichtfertig Apps zu installieren. Jetzt mache ich erst einen Scan.

Was ich dir nicht sagen werde

Ich werde dir nicht sagen, welche Apps du löschen sollst. Das Audit ist persönlich. Eine App, die mich stört, kann für dich in Ordnung sein. Der Punkt ist das Audit selbst. Du kannst keine echte Entscheidung über eine App treffen, in die du nie hineingeschaut hast.

Wenn du ein Android-Handy hast und das nie gemacht hast, nimm dir diese Woche 20 Minuten Zeit. Wähle 5 Apps, die du täglich öffnest. Finde heraus, was sie tatsächlich enthalten. Entscheide, ob du sie noch willst.

Die Zahl, mit der du zurückkommst, wird dich wahrscheinlich überraschen. Mich hat sie überrascht.