Ownit Deploys Wifi Routers With Security Hole Across Sweden

My whole housing development recently changed Internet Service Providers. We now have optical fibre from Ownit, offering hundreds of megabits per second. It works just fine. But there's a security issue and Ownit aren't taking it seriously.

All over Sweden, Ownit are deploying wifi routers that work out of the box. If you want to change any settings on your router (such as the name of the access point or the wifi password), you'll find a URL in the manual which brings up a set of admin menus. Same URL on all their routers. All over Sweden.

Actually, Ownit holds the password to the “admin” account and won't tell you what it is. But if asked, they will happily tell you that there's a “user” account with a lot of the same capabilities, and give you its extremely easily guessed preset password. Which is the same on all their routers. All over Sweden. In order to change the “user” account's password you have to take independent action on that point, tell the new password to user support and ask them to change it for you.

Some users may want to run an unprotected wifi access point. Almost all users will want to give their wifi password to friends and family members, even to casual acquaintances. In either case, most people will believe that all they're opening up there is the link from people's laptops and smartphones out onto the net. But unless special care has been taken by a semi-knowledgeable owner, they are also in effect giving the same people access to the router's (limited) admin menus.

Let's say your teenage son Jack gives the family wifi password to his girlfriend Jill so she can watch YouTube on her smartphone. Three months later, Jill dumps Jack because of what he did with Zuleika behind the crafts building. Jill then walks past your house one day, stops outside the fence, sets the name of your wifi access point to “Jack.Has.A.Tiny.Penis” and changes the wifi password. All computers in your house are now off the internet. And in order to do something about this, the family's tech person will need a certain amount of knowhow and an IP cable. Note that the people most likely to end up in this situation are the ones with little knowhow who would't even recognise an IP cable.

Someone might say, "That's why people need to change their wifi passwords often!" Well, Ownit's customers aren't given the admin login info for their routers unless they ask for it. The easily guessed admin login info they need to change their wifi passwords. The login info that heartbroken and disgruntled Jill already has, for all intents and purposes, since it's the same on every Ownit router across the country.

Summing up: Ownit gives new customers unique wifi passwords. But they also need to start giving them unique passwords for the “user” account on their routers.

More like this

Have these people never read The Cuckoo's Egg? Or the safecracker story in Surely You're Joking, Mr. Feynman!? Gaining access via default passwords is an exploit that has been known since at least the 1940s, as Feynman's anecdote shows: a locksmith brought in to drill a safe found he didn't need to, because the officer who had gone to some trouble to obtain that safe didn't bother to set the combination on the lock. Somebody on Ownit's payroll should have known better.

By Eric Lund (not verified) on 19 Oct 2014 #permalink

I guess they didn't want to confuse the customers or empower them to make changes that tech support will have to deal with.

They should also allow admin access only from ethernet or USB connections. No wireless. That's how my cable modem works. Check your manual.

BTW, if the URL is something like "http::/192.168.0.1", don't worry. The IP address block 192.168/16 is private, and doesn't get routed in the Internet. You can't access your neighbour's base station with it.

By Lassi Hippeläinen (not verified) on 19 Oct 2014 #permalink

Thanks for highlighting the fuckwittery employed and deployed by Onwit. Hopefully, ISPs across the globe will learn something useful from this gross incompetence.

Also, I hope that people will learn to refuse sharing passwords and other account details with their (temporary) partners.

Sharing nude photos is another silly thing to do that can result in having deep regrets.

Maybe they should change their name to Unwit?

hur menar du att det på något sätt skiljer sig mot andra routrar som du både köper i butik och får från andra isp:er. Har comhem idag och det fungerar på exakt samma sätt du nämner.
Ger du ut lösenordet och inte byter det så kan personen komma åt nätet.
Skapa ist upp ett gäst nätverk som du låter folk ansluta till ist.

Två viktiga skillnader. 1) Om jag köper en router så kan jag ändra admin-lösenord på den utan att blanda in användarsupporten hos min ISP. 2) Ownit förser hela bostadsområden med identiska routers på ett bräde, alla med samma login på admin-menyerna.

Och problemet är inte att folk kan komma åt nätet. Problemet är att alla som kan komma åt nätet via din router också kan komma åt admin-menyerna på routern.

admin lösenordet lämnade de inte ut? Använderlösenordet är alltså det du vill kunna byta men det går inte?

Alla comhem kunder som kör Netgear har admin som användarnamn och password som lösenord. Det är även standard på allt från Netgear.

Hur menar du att alla kan komma åt nätet via din router? De kräver ju fortfarande din wpa kod. Den koden är unik för din router och som du nämner kan du även själv byta den?

Admin-lösenordet lämnar de inte ut. User-lösenordet kan de byta åt en om man frågar efter det.

Jag upprepar: problemet är inte att folk kan komma åt nätet. Problemet är att alla som kan komma åt nätet via din router -- för att du ger dem wifi-lösenordet, exempelvis till dina kompisar och dina barn och dina barns kompisar -- också kan komma åt admin-menyerna på routern.

Okej och du kan inte själv på något sätt byta det menar du?

"Problemet är att alla som kan komma åt nätet via din router — för att du ger dem wifi-lösenordet" Vad skiljer sig där mot vilken router du ens har? Ger du någon till gång till ditt nät så ger du dom till gång till det.

Ifall du inte vill ge folk tillgång till varken menyer eller nätverket via din router så är det väl bara att sluta lämna ut wpa koden? Ifall du vill ge folk tillgång till enbart internet men inte till ditt lokala nätverk eller webgränsnintet så aktiverar du enbart gästnätverket och låter gästerna använda det. Sen håller du hårt på wpa koden till ditt huvudnätverk, eller gör en maclåsning så enbart de du godkänner kan ansluta.

Återigen förstår jag inte hur du menar att det här är ett unikt problem för en ISP.

Nej, jag kan inte byta user-lösenordet utan måste be användarsupporten göra det åt mig.

"Aktivera gästnätverket" är långt bortom det begripliga för de flesta av mina 200 grannhushåll, där många är pensionärer. Jag tror för övrigt inte man kan göra det från user-kontot. Och att user-kontot existerar står inte i bruxen.

Jag kallar det ett problem, men om det är unikt vet jag inte.

"“Aktivera gästnätverket” är långt bortom det begripliga för de flesta av mina 200 grannhushåll, där många är pensionärer. "

Du ser inte att det är ett problem då rent allmänt att de antagligen inte klarar av att byta varken wifilösenord eller admin lösenord? Om vi ska generalisera så skulle jag säga att den stora massan på sin höjd logga in i sin router vid ett tillfälle och det är när de köper den för att lägga lösenord på sitt trådlösa, vid de tillfällen de inte har ett från fabrik.

Jag återkommer imorn efter jag varit hos min far som har Ownit och router ifrån dom, sist jag loggade in så tyckte jag att det fanns möjlighet att aktivera just ett gästnätverk. Men jag kan minnas fel. Lösenordet för användargränssnitt tänkte jag inte ens på, då jag personligen aldrig ändrat det på någon av mina routrar. Då det fortfarande krävs att jag släpper in någon på mitt nätverk för att de ska ha åtkomst till den delen.

När en säkerhetslösning inte funkar så är det lösningens fel, inte användarnas. Tekniken skall funka för dem på deras nivå.

Jag är tonårsförälder och har ett stort umgänge. Tro mig: folk delar ut sina WPA-koder / wifi-lösenord till höger och vänster. Den står på en klisterlapp på routern.

Jag förstår absolut hur du menar, men det är exakt samma säkerhetslöning som i alla andra routrar. Det blir aldrig säkrare än du låter det vara, skyddar du inte din nyckel så är det osäkert. Maskera över nyckeln om den står oskyddat på routern. Jag antar att du inte lämnar bilnyckeln till någon du inte vill ska köra din bil heller?

Sen tillbaka till problemet att alla nu skulle ha samma user-logg in. Det är ju bransch standard? Ifall du finner att det är ett så stort problem bör du väl rikta fokuset på rätt ställe och inte på en liten svensk isp?

Martin, what happens to your telephone if the power is out for a week, such as during a natural disaster? How do you get help in an emergency?

In the quest for unlimited entertainment, we destroyed a network that was robust, resilient, and reliable. And what we've ended up with is a network architecture that is totally broken. From spam to cyber-theft to identity theft to cyber-stalking, viruses, worms, spyware, malware, to the ultimate threats of cyberterrorists or hostile nation states taking down entire countries' infrastructure.

All so we can have a gazillion channels of TV on demand and post selfies. Ugh.

That's not the original internet that was supposed to facilitate scientific and other academic pursuits, or usher in a new age of universal literacy.

Instead, what we've ended up with is a sewage system infested with psychopaths, facilitated by the inherently fatally flawed architecture, and fed upon by an entire parasitic layer of badguys and expensive security band-aids.

Really: It's time for an entirely new network architecture.