Исследователи из DrWeb обнаружили проблему в механизме обновления отдельных библиотек UcBrowser, который делал это по http вместо https, надеясь на собственный протокол шифрования. Подпись устанавливаемых с сервера библиотек не проверялась. Это позволяло с помощью MitM’а загружать и выполнять свой код на Android устройствах пользователей.
Видео с демонстрацией: https://youtu.be/Nfns7uH03J8
Полное описание проблемы тут:
https://vms.drweb.ru/search/?q=UC%20Browser
