Mit Ihrer Kritik mögen sie ja recht haben, das macht aber keinen Unterschied zur Angreifbarkeit.
Es war ein Proof of Concept, weiter hat man nicht gemacht.
Auch ein Glitchversuch wurde nicht Unternommen, da ist also noch genug Potential für einen Angriff.

Aber: Man muß Physikalischen Zugriff auf das Gerät haben, also wer den nicht Verliert oder geklaut bekommt
ist somit sicher.

Hier mal eine Zusammenfassung der Reaktionen:
https://www.ccn.com/trezor-ledger-respond-to-security-claims/

Aber was hat man Erwartet was die alle sagen würden, außer: ne, wir sind sicher....
 
Aber alle haben auf ihr "BUGBOUNTY Programm" Verwiesen!
(wo sie solche Sachen dann ohne Aufmerksamkeit der Öffentlichkeit Regeln können, was ja auch seinen Grund hat)