Understanding user consent choices: An exploration of the runtime permission model in the mobile and web ecosystem

Abstract

Moderne mobile und Webanwendungen fordern häufig den Zugriff auf sensible Daten der Nutzer an, um personalisierte und funktionsreiche Erlebnisse zu ermöglichen. Um fundierte Entscheidungen zu unterstützen, bieten Plattformen Entwicklern die Möglichkeit, Berechtigungsanfragen zu kontextualisieren, etwa durch deren zeitliche Platzierung und die Bereitstellung von Begründungen, die erklären, warum eine Berechtigung erforderlich ist. Der Einfluss dieser Strategien auf die Entscheidungen der Nutzer und damit auf ihre Wirksamkeit insgesamt ist jedoch bislang kaum untersucht. Diese Dissertation präsentiert eine umfassende Untersuchung darüber, wie das Design von Berechtigungsanfragen die Entscheidungen der Nutzer beeinflusst. Anhand von drei komplementären Studien, die sowohl mobile als auch Webplattformen abdecken, zeigen wir, wie die Gestaltung von Berechtigungsanfragen durch Entwickler die Wahlentscheidungen der Nutzer prägt. Erstens führen wir eine groß angelegte Nutzerstudie durch, um zu untersuchen, wie das Timing der Anfragen und das Vorhandensein von Begründungen gemeinsam die Entscheidungen und Wahrnehmungen der Nutzer beeinflussen. Zweitens analysieren wir die Sprache und das visuelle Design realer Begründungen in mobilen Apps und identifizieren, wie bestimmte Formulierungen das das Nutzerverhalten steuern. Schließlich erweitern wir unsere Untersuchung auf das Web, indem wir die erste groß angelegte empirische Studie zu Berechtigungsbegründungen in der Praxis durchführen. Insgesamt liefern diese Studien praxisnahe Erkenntnisse und Gestaltungsempfehlungen für Entwickler und Plattformdesigner. Gleichzeitig werfen sie kritische Fragen zur Sicherung der Integrität und Standardisierung von Berechtigungsbegründungen auf, um Manipulation zu verhindern. Diese Arbeit legt den Grundstein für transparentere, vertrauenswürdigere und nutzerzentrierte Systeme für Berechtigungsanfragen.

Modern mobile and web applications frequently request access to users' sensitive data to provide personalized and feature-rich experiences. To support informed decision-making, platforms allow developers to contextualize permission requests by timing them and providing rationales that explain why permission is needed. However, the impact of these strategies on users' decisions, and therefore their overall effectiveness, remains unexplored. This dissertation presents a comprehensive investigation into how the design of permission requests influences users' decisions. Through three complementary studies spanning mobile and web platforms, we show how developers' request permissions influence users' choices. First, we conduct a large-scale user study to examine how the timing of requests and the presence of rationales jointly affect users' decisions and perceptions. Second, we analyze the language and visual design of real-world mobile app rationales, identifying how specific phrasing influences user behavior. Finally, we extend our investigation to the web by conducting the first large-scale empirical study of permission rationales in practice. Collectively, these studies offer actionable insights and design recommendations for developers and platform designers. They also raise critical questions about ensuring the integrity and standardization of permission rationales to prevent manipulation. This work lays the foundation for more transparent, trustworthy, and user-centered permission request systems.