Есть такая возможность. Есть радиус действия - первое ограничение. Второе - тебе могут подменить содержимое на подпись, но ты его верифицируешь на устройстве, так что тут дело в твоей внимательности. Чтобы и на устройстве тебя наебали, нужно менять прошивку. Прошивка меняется по подтверждению на самом устройстве + в официальном клиенте каждый раз проверяется ее подлинность при подключении. Так что выглядит схема довольно сложной, но это лишь вопрос разницы между стоимостью затрат и профитом. В будущем криптомиллионеров будут так грабить, но будут и другие альтернативы.