AppXpose AppXpose
← All posts ← Alle Beiträge
· AppXpose · Trackers · Embedded SDKs · Android Privacy · App Audit · Tracker Detection

What is a tracker in an app, and why should you care Was ist ein Tracker in einer App, und warum sollte dich das interessieren

Trackers are code libraries hidden inside apps that collect your data for third parties. Here is how they work, what they see, and why it matters. Tracker sind Code-Bibliotheken in Apps, die deine Daten an Dritte senden. So funktionieren sie, was sie sehen, und warum es wichtig ist.

You have probably seen the number. “This app contains 7 trackers.” Maybe in a scan result, maybe in a news article, maybe in a Play Store review from someone angrier than you. But what does that actually mean? What is a tracker, technically? What does it do inside the app on your phone? And why should a normal person care?

These are fair questions. The privacy community throws the word “tracker” around like everyone already knows what it means. Most people do not.

A tracker is code that reports to someone else

When a developer builds an app, they rarely write everything from scratch. They use libraries, which are pre-built chunks of code that solve common problems. Need crash reporting? Import a library. Need analytics? Import a library. Need to measure ad performance? Import a library.

Each of these libraries is written and maintained by a third-party company. Firebase by Google. Adjust by Adjust GmbH. AppsFlyer by AppsFlyer Ltd. When the developer imports the library, that company’s code starts running inside the app. On your phone. With whatever permissions the app has.

A tracker is one of these libraries whose primary or secondary function is collecting data about you and sending it somewhere that is not the app developer’s own server. You can see how AppXpose detects these tracker signatures at the bytecode level.

What trackers actually see

The specifics depend on the tracker, the app’s permissions, and the Android version. But most commercial trackers collect some combination of:

  • Device identifiers: your advertising ID, device model, OS version, screen resolution. Enough to build a fingerprint even without a persistent ID.
  • Usage data: when you open the app, how long you stay, which screens you visit, which buttons you tap, where you scroll.
  • Location: if the app has location permission, many trackers will read it. Even if the tracker’s stated purpose is crash reporting.
  • Network information: your IP address, WiFi network name, carrier. Your IP alone is enough to geolocate you to a city.
  • Referral data: where you came from, which ad you clicked, which campaign brought you in.

A single tracker seeing this is unremarkable. Seven trackers seeing this, across 40 apps, all correlating data through shared identifiers, is a surveillance infrastructure. Not in theory. In practice, today, on the phone in your pocket. Our research data from 3,745 analyzed apps documents the scale of this problem across the Play Store.

How they get into apps

Developers rarely add trackers with malicious intent. The process is mundane.

A developer wants to know why their app crashes on Samsung devices. They add Firebase Crashlytics. It takes four lines of code and solves the problem. What they may not realize is that Crashlytics shares a codebase with Firebase Analytics, and the default configuration sends usage data alongside crash reports.

Another developer wants to measure which marketing channel brings the most installs. They add Adjust. Adjust needs device identifiers to do attribution. Now every user who opens the app has their device fingerprinted by a company in Berlin they have never heard of. You can see this in action in the Facebook app scan results, where multiple attribution and analytics SDKs stack on top of each other.

This is how a simple weather app ends up with 9 trackers. Not because the developer is evil. Because each tool solved a real problem and each tool came with a passenger.

We documented the most common ones in our scan of 32 popular apps. Firebase Analytics appeared in 94% of them. Facebook’s SDK in 62%. The numbers are not outliers. They are the baseline.

Why “I have nothing to hide” does not apply

The standard response to tracker warnings is “I have nothing to hide.” This misunderstands the problem.

Trackers do not care about your secrets. They care about your patterns. Which apps you open at 2am. How often you visit the pharmacy. Whether you searched for divorce lawyers or pregnancy tests or debt consolidation. None of these are secrets in isolation. All of them are valuable in aggregate, to advertisers, to insurance companies, to data brokers who sell profiles to anyone willing to pay.

You are not hiding something. You are leaking a continuous stream of behavioral data to companies whose entire business model is selling that stream. The question is not whether you have something to hide. The question is whether you want 30 companies you have never heard of building a profile of your daily life.

What you can do about it

You cannot avoid trackers entirely. They are in virtually every app on the Play Store. But you can make informed decisions.

Scanning your most-used apps takes minutes and changes how you think about what is on your phone. When you see that your flashlight app has 11 trackers and your calculator has zero, the decision to switch becomes obvious. When you see that two note-taking apps do the same thing but one has 3 trackers and one has 9, you pick the one with 3.

AppXpose exists to make that comparison possible. Not to scare you, not to tell you what to do, but to give you the information you would have wanted before you tapped install.

The trackers are not going away. But the assumption that nobody checks is the reason they got this bad. Every scan is a small vote against that assumption.

Du hast die Zahl wahrscheinlich schon mal gesehen. “Diese App enthält 7 Tracker.” Vielleicht in einem Scan-Ergebnis, vielleicht in einem Nachrichtenartikel, vielleicht in einer Play-Store-Bewertung von jemandem, der wütender war als du. Aber was bedeutet das eigentlich? Was ist ein Tracker technisch gesehen? Was macht er in der App auf deinem Handy? Und warum sollte sich ein normaler Mensch dafür interessieren?

Das sind berechtigte Fragen. Die Privacy-Community wirft das Wort “Tracker” herum, als ob jeder schon wüsste, was es bedeutet. Die meisten Leute wissen es nicht.

Ein Tracker ist Code, der an jemand anderen berichtet

Wenn ein Entwickler eine App baut, schreibt er selten alles von Grund auf. Er benutzt Bibliotheken, also vorgefertigte Code-Bausteine, die häufige Probleme lösen. Crash-Reporting nötig? Bibliothek importieren. Analytics nötig? Bibliothek importieren. Werbeleistung messen? Bibliothek importieren.

Jede dieser Bibliotheken wird von einem Drittunternehmen geschrieben und gepflegt. Firebase von Google. Adjust von Adjust GmbH. AppsFlyer von AppsFlyer Ltd. Wenn der Entwickler die Bibliothek importiert, läuft der Code dieses Unternehmens in der App. Auf deinem Handy. Mit den Berechtigungen, die die App hat.

Ein Tracker ist eine dieser Bibliotheken, deren primäre oder sekundäre Funktion es ist, Daten über dich zu sammeln und sie an einen Ort zu senden, der nicht der eigene Server des App-Entwicklers ist.

Was Tracker tatsächlich sehen

Die Details hängen vom Tracker, den App-Berechtigungen und der Android-Version ab. Aber die meisten kommerziellen Tracker sammeln eine Kombination aus:

  • Geräte-Identifikatoren: deine Werbe-ID, Gerätemodell, OS-Version, Bildschirmauflösung. Genug, um einen Fingerprint zu erstellen, selbst ohne eine persistente ID.
  • Nutzungsdaten: wann du die App öffnest, wie lange du bleibst, welche Screens du besuchst, welche Buttons du tippst, wo du scrollst.
  • Standort: wenn die App Standortberechtigung hat, werden viele Tracker ihn auslesen. Selbst wenn der erklärte Zweck des Trackers Crash-Reporting ist.
  • Netzwerkinformationen: deine IP-Adresse, WLAN-Name, Mobilfunkanbieter. Deine IP allein reicht aus, um dich auf eine Stadt zu lokalisieren.
  • Referral-Daten: woher du kamst, welche Werbung du angeklickt hast, welche Kampagne dich gebracht hat.

Ein einzelner Tracker, der das sieht, ist unspektakulär. Sieben Tracker, die das sehen, über 40 Apps hinweg, die alle Daten über gemeinsame Identifikatoren korrelieren, sind eine Überwachungsinfrastruktur. Nicht in der Theorie. In der Praxis, heute, auf dem Handy in deiner Tasche.

Wie sie in Apps landen

Entwickler fügen Tracker selten mit böser Absicht hinzu. Der Prozess ist banal.

Ein Entwickler will wissen, warum seine App auf Samsung-Geräten abstürzt. Er fügt Firebase Crashlytics hinzu. Es braucht vier Zeilen Code und löst das Problem. Was er vielleicht nicht merkt: Crashlytics teilt sich eine Codebasis mit Firebase Analytics, und die Standardkonfiguration sendet Nutzungsdaten zusammen mit Crash-Reports.

Ein anderer Entwickler will messen, welcher Marketing-Kanal die meisten Installationen bringt. Er fügt Adjust hinzu. Adjust braucht Geräte-Identifikatoren für die Attribution. Jetzt wird jeder Nutzer, der die App öffnet, von einem Unternehmen in Berlin getracked, von dem er noch nie gehört hat.

So endet eine einfache Wetter-App mit 9 Trackern. Nicht weil der Entwickler böse ist. Weil jedes Tool ein echtes Problem gelöst hat und jedes Tool einen Passagier mitgebracht hat.

Wir haben die häufigsten dokumentiert in unserem Scan von 32 beliebten Apps. Firebase Analytics tauchte in 94% davon auf. Facebooks SDK in 62%. Die Zahlen sind keine Ausreißer. Sie sind die Baseline.

Warum “Ich habe nichts zu verbergen” nicht zutrifft

Die Standardantwort auf Tracker-Warnungen ist “Ich habe nichts zu verbergen.” Das versteht das Problem falsch.

Tracker interessieren sich nicht für deine Geheimnisse. Sie interessieren sich für deine Muster. Welche Apps du um 2 Uhr nachts öffnest. Wie oft du die Apotheke besuchst. Ob du nach Scheidungsanwälten oder Schwangerschaftstests oder Schuldenberatung gesucht hast. Nichts davon ist ein Geheimnis für sich. Alles davon ist in der Summe wertvoll, für Werbetreibende, für Versicherungen, für Datenbroker, die Profile an jeden verkaufen, der zahlt.

Du verbirgst nichts. Du leckst einen kontinuierlichen Strom von Verhaltensdaten an Unternehmen, deren gesamtes Geschäftsmodell der Verkauf dieses Stroms ist. Die Frage ist nicht, ob du etwas zu verbergen hast. Die Frage ist, ob du willst, dass 30 Unternehmen, von denen du nie gehört hast, ein Profil deines täglichen Lebens aufbauen.

Was du dagegen tun kannst

Du kannst Tracker nicht komplett vermeiden. Sie sind in praktisch jeder App im Play Store. Aber du kannst informierte Entscheidungen treffen.

Deine meistgenutzten Apps zu scannen dauert Minuten und verändert, wie du über das nachdenkst, was auf deinem Handy ist. Wenn du siehst, dass deine Taschenlampen-App 11 Tracker hat und dein Taschenrechner null, wird die Entscheidung zum Wechseln offensichtlich. Wenn du siehst, dass zwei Notiz-Apps dasselbe tun, aber eine hat 3 Tracker und die andere 9, nimmst du die mit 3.

AppXpose existiert, um diesen Vergleich möglich zu machen. Nicht um dich zu erschrecken, nicht um dir zu sagen was du tun sollst, sondern um dir die Information zu geben, die du vor dem Tippen auf “Installieren” gerne gehabt hättest.

Die Tracker verschwinden nicht. Aber die Annahme, dass niemand nachschaut, ist der Grund, warum es so schlimm geworden ist. Jeder Scan ist eine kleine Stimme gegen diese Annahme.