hmm sinceramente?
paranoia
In realtà a livello invasivo siamo ± allo stesso livello. Tanto per iniziare, molto spesso dietro la facciata del PKG in realtà si limitano a copiare l'app nella cartella Applicazioni. Perché lo fanno allora? così sei obbligato a dare l'ok all'agreement
Come secondo punto, volendo un programmatore potrebbe inserire eventuali "porcate" direttamente dentro l'app che copi dal dmg, e fargliele copiare al primo avvio.
L'unica differenza è che con il PKG, per una brutta abitudine che s'è diffusa, ti chiedono la password anche mille volte in cui non servirebbe, quindi alla fine non si capisce quando te la chiedono perché davvero stanno mettendo qualcosa nella libreria di sistema oppure solo perché chi ha fatto l'installer pigramente ha lasciato una crocetta in più prima di compilare
Finendo: a volte il PKG stesso fa anche da un-installer. E spesso nel readme allegato ti scrivono in che cartelle vanno a installare robe (ma nessuno legge mai i readme, lo so).