Een kwetsbaarheid in de software Time4Popcorn maakt het mogelijk voor aanvallers om malafide updates bij gebruikers te installeren en zo het systeem met malware te infecteren. De software wordt niet meer ondersteund en er is dan ook geen beveiligingsupdate beschikbaar, zo meldt het Nederlandse cybersecuritybedrijf Eye Security. Time4Popcorn is een fork van Popcorn Time, een populaire streaming- en downloadapplicatie. De fork wordt ook onder de naam 'Popcorn Time' aangeboden.

De versies voor Android, macOS en Windows van Time4Popcorn bevatten een kwetsbaarheid in de updater. Die maakt namelijk via een onbeveiligd kanaal verbinding met de updateserver. Een aanvaller die het verkeer tussen de applicatie en server weet te manipuleren kan zo zijn eigen malafide update bij gebruikers installeren. Op macOS en Windows vindt de installatie van deze update in de achtergrond plaats, zonder enige interactie van gebruikers. Daarbij draait de software met volledige rechten, namelijk SYSTEM op Windows en root op macOS.

In het geval van Android krijgt de gebruiker een melding te zien of hij een aangeboden APK-bestand wil installeren. De software wordt niet meer onderhouden en er is dan ook geen patch voor het probleem (CVE-2026-30612) beschikbaar. Eye Security legt in een artikel over de kwetsbaarheid uit hoe de kwetsbare updater is uit te schakelen, maar adviseert voor de beste bescherming om de software volledig te verwijderen.