Подскажите, а разве у аппаратного кошелька нету функции по типу hard reset или erase all? Если кто-то умудрился модернизировать ПО, то полный сброс не решит проблему? И еще я не представляю техническую часть. Если кто-то модернизировал такой кошелек, пользователь включил и сразу начал пользоваться, но ключ от кошелька у злоумышленника и понятно как сможет украсть. А если я сам создал кошелек с нуля, как злоумышленник получит ключ? Кошелек сам ему отправит при подключении его к тому же телефону по блутусу? Так это работает?
Блютус не сможет гарантировать передачу данных злоумышленнику в этом случае. Ведь покупатель поддельного аппаратного кошелька может его вообще не подключать к смартфону, он может управлять им через десктопную версию или браузерную версию с ПК. И если мы говорим конкретно про Trezor, то Bluetooth или беспроводное соединение на них отсутствуют, специально для устранения уязвимости.
И кстати Trezor позиционируется как устройство с прошивкой с открытым исходным кодом. То есть при желании и наличии компетенций каждый может проверить код и изучить модификации, если они там имеются.