Onderzoekers hebben in de Insteon Hub, een oplossing voor huisautomatisering, een beveiligingslek ontdekt waardoor kwaadwillenden aangesloten apparaten kunnen overnemen en bijvoorbeeld deuren kunnen openen. De Insteon Hub laat gebruikers allerlei apparaten via hun smartphone of tablet te bedienen, zoals de thermostaat, garagedeur, bewakingscamera's, deursloten en verlichting.

De Insteon Hub maakt gebruik van radiosignalen om met aangesloten apparaten te communiceren. Uit een analyse van het gebruikte communicatieprotocol blijkt dat de communicatie onversleuteld plaatsvindt. Een aanvaller in de buurt kan de radiosignalen opvangen en vervolgens opnieuw afspelen en zo alle apparaten die via de Hub zijn aangesloten bedienen. Dit wordt ook wel een replay-aanval genoemd. Onderzoekers van securitybedrijf Rapid7 ontdekten het probleem en demonstreerden hoe een op de Insteon Hub aangesloten garagedeur via een replay-aanval is te openen.

Verder onderzoek liet zien dat de smartphone-app om de Insteon Hub te bedienen het account en wachtwoord voor zowel de Insteon-service als de Hub-hardware onversleuteld opslaat. De fabrikant werd op 28 juli van dit jaar over de problemen ingelicht, maar heeft nog geen update uitgebracht. Gebruikers die zich zorgen maken krijgen het advies om, in afwachting van een patch, de radiocontrol-features niet voor veiligheids- en toegangsapparaten te gebruiken.