AppXpose AppXpose
← All posts ← Alle Beiträge
· AppXpose · Trackers · Embedded SDKs · Android Privacy · App Audit

What trackers are actually hiding in your apps Welche Tracker tatsächlich in deinen Apps stecken

We scanned 32 of the most-installed Android apps and counted every embedded tracker SDK. The average app hides 5 trackers. Some have over 12. 32 der meistinstallierten Android-Apps gescannt und jeden eingebetteten Tracker-SDK gezählt. Im Schnitt 5 Tracker pro App. Manche haben über 12.

If you installed ten random apps from the Play Store today and ran them through a static analyzer, how many tracking SDKs would you find baked into the bytecode? (Not sure what a tracker actually is? We explain the basics in a separate post.)

The answer, on average, is seven. Sometimes more.

And no, these aren’t fringe apps. We’re talking about the kind of tools you use without thinking: weather, fitness, photo editing, the flashlight your aunt swears by.

Why this happens

Modern Android development is a grab-bag of free SDKs. Want crash reporting? Drop in Firebase Crashlytics. Want to A/B test a button color? Add Optimizely. Want to push notifications without writing a backend? OneSignal. Want to know how users navigate your screens? Mixpanel, Amplitude, Heap. Pick one or all three.

Each SDK is a small, useful tool. Each one also opens a network connection to a third party, sends device characteristics, and may persist identifiers across sessions. Add seven of them and you’ve got a quiet committee broadcasting your behavior to seven different companies, none of whom your user has ever heard of.

The developer almost never thinks of it that way. They added a library to solve a problem. The library happened to ship with a tracker.

The seven we see most often

In our scans of the top 32 free apps in Germany (part of our research dataset covering 3,745 apps), these were the trackers showing up in more than 50% of cases:

  • Google Firebase Analytics (in ~94% of apps)
  • Google CrashLytics (~78%)
  • Facebook Login + Audience Network (~62%)
  • AppsFlyer (~58%)
  • Adjust (~54%)
  • OneSignal (~52%)
  • Branch (~51%)

None of them are illegal. Most are useful to the developer in some way. The problem isn’t any one SDK. It’s the cumulative picture.

What it means for you

A tracker in an app isn’t always doing something nefarious. It might never fire. It might only collect aggregate data. It might respect Android’s privacy permissions and never get a real identifier.

But you have no way of knowing which case you’re in unless you look. That’s the gap AppXpose was built for: not to scare you off using apps, but to let you see what you’re agreeing to. You can read about how our tracker detection and scoring methodology works if you want to understand what goes into each scan result.

The trackers don’t bother me as much as the assumption that nobody will check.

What you can do

  1. Scan the apps you use most. Start with the 5 you open daily. For example, here is what we found in Instagram’s scan results. The results take seconds.
  2. Compare alternatives. If two flashlight apps do the same thing and one has 9 trackers and one has 1, the choice is obvious.
  3. Watch the changes. Updates often add trackers silently. If you have GUARD, you’ll get a notification the next time it happens.

We’ll keep posting deeper dives as we collect more data. If there’s a category you want us to look into next (banking apps, dating apps, kids’ games), drop us a line.

Wenn du heute zehn zufällige Apps aus dem Play Store installierst und sie durch einen statischen Analyser laufen lässt, wie viele Tracking-SDKs würdest du im Bytecode finden?

Die Antwort ist im Schnitt sieben. Manchmal mehr.

Und nein, das sind keine Randerscheinungen. Wir reden von der Sorte Werkzeug, die du nutzt, ohne darüber nachzudenken: Wetter, Fitness, Foto-Bearbeitung, die Taschenlampe, auf die deine Tante schwört.

Warum das passiert

Moderne Android-Entwicklung ist eine Wundertüte aus kostenlosen SDKs. Crash-Reporting? Pack Firebase Crashlytics rein. A/B-Test einer Button-Farbe? Optimizely dazu. Push-Benachrichtigungen, ohne ein Backend zu schreiben? OneSignal. Wissen, wie Nutzer durch deine Screens navigieren? Mixpanel, Amplitude, Heap. Such dir eines aus, oder alle drei.

Jedes SDK ist ein kleines, nützliches Werkzeug. Jedes öffnet aber auch eine Netzwerkverbindung zu einer dritten Partei, sendet Gerätemerkmale und kann Identifikatoren über Sessions hinweg speichern. Pack sieben davon zusammen und du hast einen leisen Ausschuss, der dein Verhalten an sieben verschiedene Firmen meldet, von denen dein Nutzer noch nie gehört hat.

Der Entwickler denkt fast nie so darüber nach. Er hat eine Bibliothek hinzugefügt, um ein Problem zu lösen. Die Bibliothek kam halt zufällig mit einem Tracker daher.

Die sieben, die wir am häufigsten sehen

In unseren Scans der Top 32 kostenlosen Apps in Deutschland tauchten diese Tracker in mehr als 50 % der Fälle auf:

  • Google Firebase Analytics (in ~94 % der Apps)
  • Google CrashLytics (~78 %)
  • Facebook Login + Audience Network (~62 %)
  • AppsFlyer (~58 %)
  • Adjust (~54 %)
  • OneSignal (~52 %)
  • Branch (~51 %)

Keiner davon ist illegal. Die meisten sind für den Entwickler in irgendeiner Weise nützlich. Das Problem ist nicht ein einzelnes SDK. Es ist das kumulative Bild.

Was das für dich bedeutet

Ein Tracker in einer App tut nicht zwangsläufig etwas Bösartiges. Er feuert vielleicht nie. Er sammelt vielleicht nur aggregierte Daten. Er respektiert vielleicht Androids Datenschutz-Berechtigungen und bekommt nie eine echte Kennung.

Aber du hast keine Möglichkeit zu wissen, in welchem Fall du bist, ohne hinzuschauen. Genau diese Lücke füllt AppXpose: nicht um dich von Apps abzuschrecken, sondern um dir zu zeigen, womit du dich einverstanden erklärst.

Die Tracker stören mich nicht so sehr wie die Annahme, dass niemand nachschauen wird.

Was du tun kannst

  1. Scanne die Apps, die du am häufigsten nutzt. Fang mit den 5 an, die du täglich öffnest. Die Ergebnisse dauern Sekunden.
  2. Vergleiche Alternativen. Wenn zwei Taschenlampen-Apps dasselbe tun und eine 9 Tracker hat und die andere 1, ist die Wahl offensichtlich.
  3. Beobachte Änderungen. Updates fügen oft heimlich Tracker hinzu. Mit GUARD bekommst du eine Benachrichtigung, sobald es passiert.

Wir werden weitere tiefere Analysen veröffentlichen, sobald wir mehr Daten sammeln. Wenn es eine Kategorie gibt, die wir uns als nächstes anschauen sollen (Banking-Apps, Dating-Apps, Kinderspiele), schreib uns.