Izvješće je otkrilo da su prve mobilne mreže u 1990-ima i 2000-ima bile namjerno zatvorene, što je potvrdio ETSI.
Istraživači s nekoliko sveučilišta u Francuskoj, Njemačkoj i Norveškoj zaključili su da algoritam šifriranja GEA-1, korišten u ranim mobilnim podatkovnim mrežama 1990-ih i 2000-ih, namjerno je bio skriven kada je uveo. GPRS je mobilni podatkovni standard temeljen na 2G tehnologiji, a mnoge zemlje i pružatelji mreža još uvijek se oslanjaju na njega kao zamjenu za mobilne podatke, SMS i telefonske pozive. Između telefona i bazne stanice koristi se GEA-1 enkripcija, ali je utvrđeno da je namjerno oslabljena. Za GEA-2, nasljednika GEA-1, također je utvrđeno da ima slabiju zaštitu, iako nisu pronađeni dokazi o namjernom stražnjem ulazu.
Iako su GEA-1 ili GEA-2 vlasnički algoritmi za šifriranje, istraživači su ih dobili od "izvora koji želi ostati anoniman". Prema prema izvješću, postoji velika statistička vjerojatnost da je algoritam GEA-1 značajno oslabljen i da zapravo nije 64-bitni siguran kao reklamirao. Umjesto toga, pružao je samo 40-bitnu sigurnost; 40-bitna enkripcija pruža vrlo slabu sigurnost, kao mreža računala
U svojim pokušajima obrnutog inženjeringa GEA-1 i GEA-2, istraživači su otkrili da je njihova rekreacija GEA-1 algoritma mnogo sigurnija od izvorno implementiranog algoritma. Istraživači su zaključili da to nije bilo slučajno i da je to bila namjerna dizajnerska odluka onih koji su uopće dizajnirali algoritam GEA-1 za mobilne mreže. List navodi da se "konkretno, u milijun pokušaja nismo niti približili tako slaboj instanci". U ovom slučaju, u kombinaciji s mogućnošću prisluškivanja GPRS komunikacije, jest teoretski moguće presresti i dešifrirati sav promet mobilne mreže koji koristi GEA-1 algoritam s lakoćom. Matthew Green također napominje da većina web stranica u to vrijeme nije koristila TLS i da se svatko tko je koristio internetom oslanjao na te algoritme za zaštitu svoje komunikacije.
Matična ploča obratio se Europskom institutu za telekomunikacijske standarde (ETSI), organizaciji koja je dizajnirala algoritam. Priznali su da algoritam ima slabost, ali su rekli da je uveden jer tadašnji izvozni propisi nisu dopuštali jaču enkripciju. "Slijedili smo propise: slijedili smo propise o kontroli izvoza koji su ograničavali snagu GEA-1." Håvard Raddum, istraživač na papiru, izjavio je Matična ploča da "kako bi se ispunili politički zahtjevi, milijuni korisnika očito su godinama bili slabo zaštićeni dok su surfali." Lukasz Olejnik, neovisni istraživač kibernetičke sigurnosti i konzultant koji ima doktorat iz računalnih znanosti. iz INRIA, također ispričao Matična ploča da "ova tehnička analiza je dobra, a zaključci o namjernom slabljenju algoritma prilično ozbiljni."
Dotični izvozni propisi vjerojatno su francuski dekreti 98-206 i 98-207. Najavljene 1998. (godina dizajniranja GEA-1), Uredbe su navodile sredstva i usluge kriptologije u kojima se “iscrpna pretraga svi mogući ključevi ne zahtijevaju više od 2 40 pokušaja s jednostavnim testom” izuzeti su od autorizacije ili deklaracije za uporabu i uvoz.
S GEA-2 stvari su bile drugačije, a ETSI je rekao Matična ploča da je kontrola izvoza bila ublažena u vrijeme dizajna GEA-2. Istraživači su ipak uspjeli dešifrirati GEA-2 promet i rekli su da šifra "ne nudi punu 64-bitnu sigurnost". Dok je napad bilo teže "primijeniti u praksi", istraživači preporučuju da se od sada implementiraju samo GEA-3 i noviji. Mnogi uređaji objavljeni posljednjih godina i dalje koriste GEA-1 i GEA-2 kao zamjenu, iako ETSI spriječeno mrežnih operatera od korištenja GEA-1 u svojim mobilnim mrežama u 2013.
Izvorni rad se može čitati ovdje.