você levanta um ponto importante sobre a vulnerabilidade, mas IMHO escorrega na exceção
revisar o código fonte do app é uma possibilidade valiosa, mas não é como se a falta do conhecimento técnico para fazê-lo anulasse os benefícios da disponibilização do código fonte:
- você pode escolher pessoas em quem confia, e que tenham essa habilidade, para fazer essa revisão pra você. ok, só grandes empresas fazem dessas coisas, e olha lá
- só o fato de o código fonte estar disponível já viabiliza que outros olhem, e isso por si só já desencoraja a introdução de código malicioso, pois a descoberta seria escandalosa e embaraçosa
- comparo ao fact-checking jornalístico. bom seria se todo mundo conseguisse verificar os fatos, mas só de ter alguns fazendo verificação dos fatos, já ajuda quem não quer espalhar notícia falsa a encontrar referências de verificação das notícias mais comuns em circulação, saber que há gente verificando desencoraja a publicação de bobagens, e isso beneficia a todos, não só aos jornalistas que fazem a verificação mas ao público em geral. analogamente, verificação de código fonte disponível de aplicativos em uso comum beneficia a todos, inclusive quem não sabe verificar