Time4Popcorn-lek laat aanvaller malafide updates bij gebruikers installeren

In dit artikel:

Een kwetsbaarheid in de updater van Time4Popcorn (een fork die ook als 'Popcorn Time' wordt aangeboden) maakt het mogelijk dat aanvallers malafide updates doorvoeren, meldt het Nederlandse cybersecuritybedrijf Eye Security. De Android-, macOS- en Windows-versies leggen updateverkeer over een onbeveiligd kanaal, waardoor een tussenpersoon (man-in-the-middle) een kwaadaardige update kan insluizen. Op macOS en Windows installeert die update stilletjes met volledige systeemrechten (root/SYSTEM); op Android verschijnt een installatiemelding voor een APK. De software wordt niet meer onderhouden en heeft geen patch voor CVE-2026-30612. Eye Security beschrijft hoe je de updater kunt uitschakelen, maar raadt aan de applicatie volledig te verwijderen; ook geldt het algemene advies om geen APK’s van onbetrouwbare bronnen te installeren en systemen up-to-date te houden.