Depende si la descarga y el hash están en el mismo servidor: no es raro que las descargas provengan de proveedores de CDN o sistemas como S3, que proporcionan alojamiento de archivos estáticos, mientras que el resto de la página proviene de un CMS en un servidor web Con contenido dinámico. En este caso, o cuando un archivo puede descargarse de una fuente alternativa, proporciona un buen indicador de que el archivo se generó originalmente.
Lo mismo se aplica a cosas como las distribuciones de Linux, donde Bittorrent podría usarse para la distribución. Al verificar la suma, proporciona seguridad de que se ha descargado el archivo correcto.
Si el archivo y el hash están en el mismo servidor, es menos útil aunque, como usted dice, si puede cambiar uno, probablemente pueda cambiar el otro.