AppXpose AppXpose
Methodology

Last updated May 2026. Reflects v6.9.1.

How AppXpose
actually works.

Privacy claims are easy to make and hard to verify. This page documents the full pipeline: every step, every scoring factor, every data source, and every thing we don't touch. If something here is wrong, email mahere@appxpose.app and we will fix it.

Methodik

Zuletzt aktualisiert Mai 2026. Bezieht sich auf v6.9.1.

Wie AppXpose
wirklich funktioniert.

Datenschutz-Versprechen sind leicht gemacht und schwer zu verifizieren. Diese Seite dokumentiert die komplette Pipeline: jeden Schritt, jeden Scoring-Faktor, jede Datenquelle und alles, was wir nicht anfassen. Wenn hier etwas falsch ist, schreib an mahere@appxpose.app und wir korrigieren es.

I. The scan pipeline
01

You pick an app

AppXpose lists every app installed on your device via the Android PackageManager API. You tap one. Nothing happens until you do.

02

We unpack the APK locally

The PackageManager hands us the installed APK file path. We read its DEX bytecode and AndroidManifest in-process on Dispatchers.IO. Bytes never leave the phone.

03

Pattern-match against known tracker signatures

Class names and package paths are compared against a curated signature set (sourced from Exodus Privacy, our own additions, and community-discovered patterns). Transitive dependencies from parent SDKs are deduplicated so the count reflects actual distinct trackers. This is deterministic pattern matching, not AI. See II. Detection methodology below.

04

Score deterministically, then AI-analyze

The local results are sent (HMAC-signed, no personal data) to our Cloudflare edge. A deterministic pre-score is calculated from multiple risk factors. Then an LLM generates the final score breakdown, the developer profile, the paywall analysis, and the natural-language explanations. See III. Risk scoring model.

05

You see a score and a story

Not just a number. What was found, why it matters, who made the app, where the data goes, and what changed since the last scan. You can save the report, share it, or vote on it for the community.

06

Everything lands in the App Library

Every scan result is stored in a local database — risk scores, tracker lists, permission audits, all timestamped. The App Library lets you browse, search, and compare your installed apps in one place. Filter by risk level, sort by last scan date, spot which apps got worse over time. It turns individual scans into a structured record of what is running on your device.

I. Die Scan-Pipeline
01

Du wählst eine App

AppXpose listet jede auf deinem Gerät installierte App über die Android PackageManager API. Du tippst eine an. Vorher passiert nichts.

02

Wir entpacken die APK lokal

Der PackageManager liefert uns den Dateipfad der installierten APK. Wir lesen den DEX-Bytecode und das AndroidManifest im selben Prozess auf Dispatchers.IO. Die Bytes verlassen dein Handy nie.

03

Abgleich mit bekannten Tracker-Signaturen

Klassennamen und Paket-Pfade werden gegen ein kuratiertes Signatur-Set geprüft (Quelle: Exodus Privacy, eigene Ergänzungen und community-entdeckte Patterns). Transitive Dependencies von Parent-SDKs werden dedupliziert, sodass die Zählung tatsächlich eigenständige Tracker widerspiegelt. Das ist deterministisches Pattern Matching, keine KI. Siehe II. Erkennungs-Methodik unten.

04

Erst deterministisch scoren, dann KI-Analyse

Die lokalen Ergebnisse gehen (HMAC-signiert, keine persönlichen Daten) an unsere Cloudflare Edge. Ein deterministischer Pre-Score wird aus mehreren Risikofaktoren berechnet. Dann erzeugt ein LLM das finale Score-Breakdown, das Entwickler-Profil, die Paywall-Analyse und die natürlichsprachlichen Erklärungen. Siehe III. Risk-Scoring-Modell.

05

Du bekommst einen Score und eine Geschichte

Nicht nur eine Zahl. Was gefunden wurde, warum es zählt, wer die App gemacht hat, wohin die Daten fließen und was sich seit dem letzten Scan geändert hat. Du kannst den Report speichern, teilen oder für die Community abstimmen.

06

Alles landet in der App-Bibliothek

Jedes Scan-Ergebnis wird in einer lokalen Datenbank gespeichert — Risikobewertungen, Tracker-Listen, Berechtigungs-Audits, alles mit Zeitstempel. Die App-Bibliothek lässt dich deine installierten Apps an einem Ort durchsuchen, finden und vergleichen. Filtere nach Risikostufe, sortiere nach letztem Scan-Datum, erkenne welche Apps sich über die Zeit verschlechtert haben. Sie verwandelt einzelne Scans in ein strukturiertes Protokoll dessen, was auf deinem Gerät läuft.

II. Detection methodology

How we find trackers in bytecode.

Tracker detection in AppXpose is deterministic pattern matching, not AI. The LLM never decides whether a tracker is present. A signature either matches or it doesn't.

Signature sources

SourceExodus Privacy
Count97
MethodPackage path prefixes from their public database (ODbL licensed)
SourceCommunity discovery
Count77
MethodManual APK analysis + auto-confirmed from user scans via community discovery pipeline. When 3+ distinct packages contain the same unknown SDK, it becomes a confirmed signature.
SourceTotal
Count174+
MethodGrows automatically from community scans — no app update required

Match types

  • Package path prefix: e.g. com.facebook.appevents, com.adjust.sdk. If a class in the DEX starts with this path, it's a match. Each signature is compiled to a regex at app start.
  • Prefix deduplication: when a parent SDK (e.g. com.google.android.gms.ads) matches, sub-packages like com.google.android.gms.ads.doubleclick are not counted separately. Known transitive dependencies (e.g. Firebase Analytics bundled by AdMob) are suppressed when the parent is confirmed present.
  • Suspicious class detection: classes that look like SDKs but don't match any known signature are flagged and sent to the server for community-driven discovery (see below).

Community tracker discovery

Every scan contributes to growing the signature database. When the DEX scanner finds classes that look like third-party SDKs but don't match any known signature, they are reported anonymously to the server. Once the same unknown class prefix appears in 3 or more distinct packages from different devices, it is auto-confirmed as a new tracker signature. Confirmed signatures sync daily to all devices via a background worker — no app update required. This means the detection engine gets better with every scan the community runs.

Note: estimated tracker information provided in the AI analysis section uses LLM knowledge and is always marked as "(estimated)". Only DEX-verified trackers are reported without a caveat.

II. Erkennungs-Methodik

Wie wir Tracker im Bytecode finden.

Die Tracker-Erkennung in AppXpose ist deterministisches Pattern Matching, keine KI. Das LLM entscheidet nie, ob ein Tracker vorhanden ist. Eine Signatur trifft entweder zu oder nicht.

Signatur-Quellen

QuelleExodus Privacy
Anzahl97
MethodePaket-Pfad-Präfixe aus deren öffentlicher Datenbank (ODbL-lizenziert)
QuelleCommunity Discovery
Anzahl77
MethodeManuelle APK-Analyse + auto-bestätigt aus User-Scans über die Community-Discovery-Pipeline. Wenn 3+ verschiedene Pakete dasselbe unbekannte SDK enthalten, wird es zur bestätigten Signatur.
QuelleGesamt
Anzahl174+
MethodeWächst automatisch durch Community-Scans — kein App-Update nötig

Match-Typen

  • Paket-Pfad-Präfix: z. B. com.facebook.appevents, com.adjust.sdk. Wenn eine Klasse im DEX mit diesem Pfad beginnt, ist das ein Match. Jede Signatur wird beim App-Start zu einem Regex kompiliert.
  • Präfix-Deduplizierung: wenn ein Parent-SDK (z. B. com.google.android.gms.ads) matched, werden Sub-Packages wie com.google.android.gms.ads.doubleclick nicht separat gezählt. Bekannte transitive Dependencies (z. B. Firebase Analytics, das durch AdMob reinkommt) werden unterdrückt, wenn der Parent bestätigt ist.
  • Erkennung verdächtiger Klassen: Klassen, die wie SDKs aussehen, aber keine bekannte Signatur matchen, werden gemeldet und an den Server zur community-basierten Entdeckung gesendet (siehe unten).

Community-Tracker-Entdeckung

Jeder Scan trägt zum Wachstum der Signatur-Datenbank bei. Wenn der DEX-Scanner Klassen findet, die wie Third-Party-SDKs aussehen, aber keine bekannte Signatur matchen, werden sie anonym an den Server gemeldet. Sobald derselbe unbekannte Klassen-Präfix in 3 oder mehr verschiedenen Paketen von verschiedenen Geräten auftaucht, wird er automatisch als neue Tracker-Signatur bestätigt. Bestätigte Signaturen werden täglich über einen Background-Worker an alle Geräte synchronisiert — kein App-Update nötig. Das bedeutet: die Detection-Engine wird mit jedem Scan der Community besser.

Hinweis: Geschätzte Tracker-Informationen in der KI-Analyse nutzen LLM-Wissen und sind immer mit „(geschätzt)" markiert. Nur DEX-verifizierte Tracker werden ohne Einschränkung gemeldet.

III. Risk scoring model

Two-phase scoring: deterministic, then AI.

Phase 1: Deterministic pre-score

Before the LLM sees any data, a deterministic scoring function runs on the server. It evaluates multiple risk signals including permission analysis (context-aware across 45 Play Store categories), update history, installation source, APK integrity, breach history, tracker presence, signing certificate verification, and known-malware database matches. Positive signals (clean history, no trackers, recent updates) reduce the score.

The pre-score produces a baseline from 0 to 100. Risk levels: LOW (0-29), MEDIUM (30-59), HIGH (60-79), CRITICAL (80-100). The exact weights and thresholds are part of our proprietary scoring engine and will be open-sourced with the detection engine.

Context-aware scoring

Permissions that are normal for one category are suspicious in another. A weather app asking for location scores differently than a flashlight asking for the same thing. Our scoring engine maps expected permissions across 45 Play Store categories and adjusts risk accordingly. This mapping is continuously refined by a data-driven baseline that learns from real scan data.

Phase 2: AI-assisted analysis

The pre-score and all raw data (permissions, trackers, breach status, app metadata) are sent to an LLM which generates the user-facing breakdown. The LLM produces six category scores visible in the app:

  1. Known Data Collection Practices
  2. Parent Company & Geopolitical Risk
  3. Estimated Trackers & Ad Networks
  4. Encryption & Data Transit
  5. Update Frequency & Patch Responsiveness
  6. Regulatory Compliance & Transparency

The LLM also generates: the developer profile (company, server locations, GDPR posture), the paywall and monetization analysis, the data-sharing probability estimates, and the natural-language explanations next to every finding. All AI-estimated data is explicitly marked as "(estimated)" in the app.

III. Risk-Scoring-Modell

Zwei-Phasen-Scoring: erst deterministisch, dann KI.

Phase 1: Deterministischer Pre-Score

Bevor das LLM überhaupt Daten sieht, läuft eine deterministische Scoring-Funktion auf dem Server. Sie bewertet mehrere Risiko-Signale: Berechtigungs-Analyse (kontext-abhängig über 45 Play-Store-Kategorien), Update-Historie, Installationsquelle, APK-Integrität, Breach-Historie, Tracker-Präsenz, Signing-Zertifikats-Verifikation und Abgleich gegen Known-Malware-Datenbanken. Positive Signale (saubere Historie, keine Tracker, aktuelle Updates) reduzieren den Score.

Der Pre-Score erzeugt eine Baseline von 0 bis 100. Risiko-Stufen: LOW (0-29), MEDIUM (30-59), HIGH (60-79), CRITICAL (80-100). Die genauen Gewichtungen und Schwellenwerte sind Teil unserer proprietären Scoring-Engine und werden mit der Detection-Engine Open Source gehen.

Kontext-abhängiges Scoring

Berechtigungen, die in einer Kategorie normal sind, sind in einer anderen verdächtig. Eine Wetter-App, die nach Standort fragt, wird anders bewertet als eine Taschenlampe, die dasselbe verlangt. Unsere Scoring-Engine mappt erwartete Berechtigungen über 45 Play-Store-Kategorien und passt das Risiko entsprechend an. Dieses Mapping wird kontinuierlich durch eine datengetriebene Baseline verfeinert, die aus echten Scan-Daten lernt.

Phase 2: KI-gestützte Analyse

Der Pre-Score und alle Rohdaten (Berechtigungen, Tracker, Breach-Status, App-Metadaten) gehen an ein LLM, das das nutzerseitige Breakdown erzeugt. Das LLM produziert sechs Kategorie-Scores, die in der App sichtbar sind:

  1. Bekannte Datensammel-Praktiken
  2. Mutterkonzern & geopolitisches Risiko
  3. Geschätzte Tracker & Werbenetzwerke
  4. Verschlüsselung & Datenübertragung
  5. Update-Frequenz & Patch-Verhalten
  6. Regulatorische Compliance & Transparenz

Das LLM erzeugt zusätzlich: das Entwickler-Profil (Firma, Server-Standorte, DSGVO-Lage), die Paywall- und Monetarisierungs-Analyse, die Wahrscheinlichkeits-Schätzungen für Daten-Weitergabe und die natürlichsprachlichen Erklärungen neben jedem Befund. Alle KI-geschätzten Daten sind in der App explizit mit „(geschätzt)" markiert.

IV. What the AI does and doesn't do

AI generates

  • Risk score breakdown (6 categories)
  • Paywall and monetization analysis
  • Developer profile (company, servers, GDPR)
  • Data-sharing probability estimates
  • Natural-language explanations
  • All marked "(estimated)" where applicable

AI does not

  • Detect trackers (that's pattern matching)
  • Check breaches (that's HIBP)
  • List permissions (that's the Android API)
  • Read your apps' content or data
  • Access your device outside the scan
  • Make the final tracker count (DEX does)
IV. Was die KI macht und was nicht

KI erzeugt

  • Risk-Score-Breakdown (6 Kategorien)
  • Paywall- und Monetarisierungs-Analyse
  • Entwickler-Profil (Firma, Server, DSGVO)
  • Wahrscheinlichkeits-Schätzungen zur Daten-Weitergabe
  • Natürlichsprachliche Erklärungen
  • Alles mit „(geschätzt)" markiert, wo zutreffend

KI macht nicht

  • Tracker erkennen (das ist Pattern Matching)
  • Breaches prüfen (das ist HIBP)
  • Berechtigungen auflisten (das ist die Android-API)
  • Inhalte oder Daten deiner Apps lesen
  • Außerhalb des Scans auf dein Gerät zugreifen
  • Die finale Tracker-Zahl bestimmen (das macht DEX)
V. Data sources
SourceAndroid PackageManager
Used forAPK file access, metadata, permissions
Leaves device?No
SourceDEX bytecode reader
Used forTracker signature matching
Leaves device?No
SourceExodus Privacy DB
Used for190 tracker signatures
Leaves device?Cached on our edge. Phone sends package name only.
SourceHave I Been Pwned
Used forDeveloper breach history
Leaves device?Proxied via our edge (k-anonymity). No personal data.
SourceLLM (Anthropic)
Used forScore breakdown, descriptions, developer profiling
Leaves device?Receives app metadata + permissions. No bytecode, no personal data.
SourceCommunity votes
Used forCrowd-sourced risk signal
Leaves device?Stored anonymously on Cloudflare D1. No author identity.
SourceMalwareBazaar (abuse.ch)
Used forKnown-malware hash lookup
Leaves device?APK SHA256 checked server-side. No personal data sent. Open community DB.
SourceAppXpose CertNet (TOFU + F-Droid)
Used forKnown-good signing cert verification
Leaves device?Crowd-sourced signing cert DB. Self-populates via trust-on-first-use from real scans. Seeded with F-Droid verified certs.
SourceGoogle Play Integrity
Used forVerifying the app was installed from Google Play (observation mode, no blocking)
Leaves device?Integrity token sent to Google's servers for verification. Contains app + device attestation. No personal data.
SourceGoogle AdMob (free tier only)
Used forRewarded video ads (opt-in, never banners or interstitials). SDK is not initialized for premium / GUARD users.
Leaves device?When a free user voluntarily watches a rewarded ad: device model, OS version, app version, language/region, IP address, Google Advertising ID (unless reset in Android settings), ad-interaction events. Standard AdMob SDK behavior.
V. Datenquellen
QuelleAndroid PackageManager
Verwendet fürAPK-Dateizugriff, Metadaten, Berechtigungen
Verlässt Gerät?Nein
QuelleDEX-Bytecode-Reader
Verwendet fürTracker-Signatur-Matching
Verlässt Gerät?Nein
QuelleExodus Privacy DB
Verwendet für190 Tracker-Signaturen
Verlässt Gerät?Auf unserer Edge gecacht. Das Handy sendet nur den Paketnamen.
QuelleHave I Been Pwned
Verwendet fürBreach-Historie der Entwickler
Verlässt Gerät?Über unsere Edge proxied (k-Anonymität). Keine persönlichen Daten.
QuelleLLM (Anthropic)
Verwendet fürScore-Breakdown, Beschreibungen, Entwickler-Profilierung
Verlässt Gerät?Bekommt App-Metadaten + Berechtigungen. Kein Bytecode, keine persönlichen Daten.
QuelleCommunity-Stimmen
Verwendet fürCrowd-sourced Risiko-Signal
Verlässt Gerät?Anonym in Cloudflare D1 gespeichert. Keine Autor-Identität.
QuelleMalwareBazaar (abuse.ch)
Verwendet fürKnown-Malware-Hash-Lookup
Verlässt Gerät?APK-SHA256 serverseitig geprüft. Keine persönlichen Daten gesendet. Offene Community-DB.
QuelleAppXpose CertNet (TOFU + F-Droid)
Verwendet fürVerifikation bekannter Signatur-Zertifikate
Verlässt Gerät?Crowd-sourced Signing-Cert-DB. Füllt sich selbst via Trust-on-First-Use aus echten Scans. Geseedet mit F-Droid-verifizierten Zertifikaten.
QuelleGoogle Play Integrity
Verwendet fürÜberprüfung, ob die App aus dem Google Play Store installiert wurde (Beobachtungsmodus, kein Blocking)
Verlässt Gerät?Integrity-Token wird an Google-Server zur Verifikation gesendet. Enthält App- und Geräte-Attestierung. Keine persönlichen Daten.
QuelleGoogle AdMob (nur Free-Tier)
Verwendet fürRewarded-Video-Ads (Opt-in, niemals Banner oder Interstitials). Das SDK wird für Premium-/GUARD-Nutzer nicht initialisiert.
Verlässt Gerät?Wenn ein Free-Nutzer eine Rewarded Ad freiwillig anschaut: Gerätemodell, OS-Version, App-Version, Sprache/Region, IP-Adresse, Google Advertising ID (sofern nicht in Android-Einstellungen zurückgesetzt), Ad-Interaktions-Events. AdMob-SDK-Standardverhalten.
VI. What we collect, and what we don't

We never collect

  • Email addresses or accounts
  • Google Advertising ID (AppXpose itself never reads it; AdMob may read it for free users who voluntarily watch a rewarded ad)
  • IMEI, phone number, SIM data
  • Location, contacts, photos
  • App content or messages
  • Persistent identifiers across reinstalls

We do collect

  • Device fingerprint hash (rotates on reinstall)
  • Quota counter (5 scans/week free tier)
  • Anonymous community votes (no author identity)
  • Scan raw data for ML training (package name, permissions, tracker matches, suspicious classes — no personal data, used to improve detection accuracy)
  • APK signing certificate hashes (for CertNet trust-on-first-use verification)
VI. Was wir erfassen, und was nicht

Wir erfassen nie

  • E-Mail-Adressen oder Accounts
  • Google Advertising ID (AppXpose selbst liest sie nie; AdMob kann sie für Free-Nutzer lesen, die freiwillig eine Rewarded Ad anschauen)
  • IMEI, Telefonnummer, SIM-Daten
  • Standort, Kontakte, Fotos
  • App-Inhalte oder Nachrichten
  • Persistente Kennungen über Neuinstallationen hinweg

Wir erfassen sehr wohl

  • Geräte-Fingerprint-Hash (rotiert bei Neuinstallation)
  • Quota-Zähler (5 Scans/Woche im Free-Tier)
  • Anonyme Community-Stimmen (keine Autor-Identität)
  • Scan-Rohdaten für ML-Training (Paketname, Berechtigungen, Tracker-Matches, verdächtige Klassen — keine persönlichen Daten, dient der Verbesserung der Erkennungsgenauigkeit)
  • APK-Signing-Zertifikat-Hashes (für CertNet Trust-on-First-Use-Verifikation)
VII. Architecture
--- Your Phone ---
AppXpose (Kotlin + Jetpack Compose) — EN · DE · ES · PT
> DEX bytecode reader (runs on Dispatchers.IO)
> Tracker signature matcher (190+ patterns, grows via community sync)
> Local cache (Room DB, v10 keys)
> SharedPrefs: scan history flag
> GUARD Workers (5 alerts, daily via WorkManager)
> Play Integrity (async warmup, observation mode)
| HMAC-SHA256 signed, no auth, HTTPS
v
--- Cloudflare Edge ---
Worker + D1 database
> Deterministic pre-score (multiple factors)
> LLM API call (score breakdown + descriptions)
> Cached signatures (Exodus, 5-min warm, EN)
> Community tracker discovery (auto-confirm at 3+ packages)
> Quota counter (per device fingerprint)
> HIBP proxy (breach checks, k-anonymity)
> Community votes (anonymous)

Everything between phone and edge is HTTPS plus HMAC-SHA256. The HMAC key is a server-side secret that can be rotated independently of app updates, with a grace period where old and new keys are accepted simultaneously. The "device fingerprint" is a one-way hash of stable hardware characteristics. It cannot be reversed into a person, and it resets on reinstall or factory reset.

VII. Architektur
--- Dein Handy ---
AppXpose (Kotlin + Jetpack Compose) — EN · DE · ES · PT
> DEX-Bytecode-Reader (läuft auf Dispatchers.IO)
> Tracker-Signatur-Matcher (190+ Patterns, wächst via Community-Sync)
> Lokaler Cache (Room DB, v10-Keys)
> SharedPrefs: Scan-Historien-Flag
> GUARD Workers (5 Alerts, täglich via WorkManager)
> Play Integrity (async Warmup, Beobachtungsmodus)
| HMAC-SHA256-signiert, kein Auth, HTTPS
v
--- Cloudflare Edge ---
Worker + D1-Datenbank
> Deterministischer Pre-Score (mehrere Faktoren)
> LLM-API-Call (Score-Breakdown + Beschreibungen)
> Gecachte Signaturen (Exodus, 5-min warm, EN)
> Community-Tracker-Entdeckung (Auto-Bestätigung bei 3+ Paketen)
> Quota-Zähler (pro Geräte-Fingerprint)
> HIBP-Proxy (Breach-Checks, k-Anonymität)
> Community-Stimmen (anonym)

Alles zwischen Handy und Edge läuft über HTTPS plus HMAC-SHA256. Der HMAC-Key ist ein serverseitiges Secret, das unabhängig von App-Updates rotiert werden kann — mit einer Grace Period, in der alter und neuer Key gleichzeitig akzeptiert werden. Der „Geräte-Fingerprint" ist ein Einweg-Hash stabiler Hardware-Merkmale. Er lässt sich nicht zu einer Person zurückrechnen und wird bei Neuinstallation oder Werksreset zurückgesetzt.

VIII. Source code status

Closed source. Here's why, and what changes when.

AppXpose is a solo project that is still in heavy development. The scan pipeline was rewritten multiple times in the last months as new detection approaches surfaced. Publishing the code today would mean publishing a moving target that breaks by next week. That is not useful to anyone.

The plan: once the detection engine's interfaces stabilize (the signature format, the scoring model inputs, the pipeline boundaries), the engine will be opened. Not the whole app, but the part that matters: the component that reads bytecode and decides what a tracker is. That is the part the community should be able to audit, challenge, and improve.

Detection engine (signature matcher, DEX reader)
WILL BE OPENED
Scoring model (pre-score factors, weights)
Published with the detection engine (proprietary until open-source release)
App UI (Kotlin + Compose)
Stays closed (UI code is not security-relevant)
Backend (Cloudflare Worker)
Stays closed (infrastructure orchestration, business logic)

In the meantime, this page documents everything the code does and how. The code is closed. The methodology is not. If you find a gap in this documentation, email us and we will close it.

VIII. Status des Quellcodes

Closed Source. Hier ist warum, und wann sich das ändert.

AppXpose ist ein Solo-Projekt, das noch in heftiger Entwicklung steckt. Die Scan-Pipeline wurde in den letzten Monaten mehrfach umgeschrieben, sobald neue Erkennungs-Ansätze aufgetaucht sind. Den Code heute zu veröffentlichen, hieße ein bewegliches Ziel zu veröffentlichen, das nächste Woche kaputt ist. Das ist für niemanden nützlich.

Der Plan: sobald die Schnittstellen der Detection-Engine stabil sind (das Signatur-Format, die Eingaben des Scoring-Modells, die Pipeline-Grenzen), wird die Engine geöffnet. Nicht die ganze App, sondern der Teil, der zählt: die Komponente, die Bytecode liest und entscheidet, was ein Tracker ist. Das ist der Teil, den die Community auditieren, hinterfragen und verbessern können sollte.

Detection-Engine (Signatur-Matcher, DEX-Reader)
WIRD GEÖFFNET
Scoring-Modell (Pre-Score-Faktoren, Gewichte)
Wird mit der Detection-Engine veröffentlicht (bis zum Open-Source-Release proprietär)
App-UI (Kotlin + Compose)
Bleibt geschlossen (UI-Code ist nicht sicherheitsrelevant)
Backend (Cloudflare Worker)
Bleibt geschlossen (Infrastruktur-Orchestrierung, Geschäftslogik)

Bis dahin dokumentiert diese Seite alles, was der Code tut, und wie. Der Code ist geschlossen. Die Methodik nicht. Wenn du eine Lücke in dieser Dokumentation findest, schreib uns, und wir schließen sie.

See also

Research data from 3,745 analyzed apps

Tracker distribution, risk scores, dangerous permissions across the full corpus.

Browse individual app scan results

29 popular apps analyzed with full tracker lists, permissions, and risk breakdowns.

How to detect spyware on Android

A practical guide to finding hidden trackers on your phone.
Siehe auch

Forschungsdaten aus 3.745 analysierten Apps

Tracker-Verteilung, Risikoscores und gefährliche Berechtigungen im gesamten Korpus.

Einzelne App-Scan-Ergebnisse durchsuchen

29 beliebte Apps analysiert mit vollständigen Tracker-Listen und Risikobewertungen.

Spyware auf Android erkennen

Praktischer Leitfaden zum Finden versteckter Tracker auf dem Handy.

Found something we missed?

Security claims should be falsifiable. If you see a gap in this methodology, a factor we are not accounting for, or a claim that does not match reality, tell us. We will fix it and credit you in the next release notes.

mahere@appxpose.app

Was übersehen?

Sicherheits-Behauptungen sollten widerlegbar sein. Wenn du eine Lücke in dieser Methodik siehst, einen Faktor, den wir nicht berücksichtigen, oder eine Aussage, die nicht der Realität entspricht, sag uns Bescheid. Wir korrigieren es und erwähnen dich in den nächsten Release Notes.

mahere@appxpose.app