razor 同学对于 Xcode ghost 的事情的评价是：这也太不注意卫生了。个人深以为然。

技术细节、影响等等，已经有很多大牛写过很好的文章来介绍。但是我想问的是，这事完了吗？在我看来远远没有，根据有关厂商的介绍，想要装上这个下了马的 Xcode，首先得从 App Store 以外的渠道去下载，其次还得允许运行来自 ‘Anywhere’ 的应用程序，或者开发人员习惯于绕过系统的数字签名检查。

我看到的至少有这么两个问题：1. 开发人员常态化地使用并忽略未经签名的工具（非常不重视卫生，我认为这个事情基本上和一个厨师在上班时间去上厕所，回来工作之前不洗手是一样的性质）。2. 具有这种态度的开发人员同时拥有发布权限（管理者玩忽职守）。

我认为基本上这次出现问题的 iOS 应用开发者都应该进行特别标记，并改进其发布流程之后才允许继续发布新的应用程序。自然，每一个直接导致问题的开发者都是负有责任的，但允许这样问题出现，并在事后用公关稿文过饰非的企业及其管理者更有责任。这种攻击已经持续了数月，到底有多少不同的版本受到影响？也许只有 Apple 能够提供相关数据了。

当然，对于手机应用安全厂商来说，也许这是一次难得的商机，因为 iOS 设备用户和 Apple 之间的信任被这种攻击直接打破了。事实上，国内某前越狱团队已经制作了一款采用企业证书的扫描程序（我并不怀疑该团队提供这样的程序是出于好意，但出于谨慎，个人建议不要使用，因为我们并不知道该团队手中是否拥有更多提权漏洞，或者后续版本是否会做一些其他事情）。

对于最终用户而言，我认为现在应该做的是立即删除非必要的全部应用程序，特别是那些存疑或已经知道出现过问题，而在其公关稿中淡化问题，而没有提出对前面两个问题解决方案的开发者开发的软件，并在确认手机中没有问题应用之后重新设置全部密码。