安全研究者 Arkadiy Tetelman 做了一件很硬的事:把自己 2024 款 Toyota RAV4 Hybrid 上的 DCM 数据通信模块拆了,还断开了车机 GPS 天线。
他的目标很清楚。不是让车更快,也不是省电,而是不再把隐私寄托在车企的设置菜单和退出选项上。他要让这辆车失去远程上传遥测数据的能力。
这件事有意思的地方在这里:车还能开,云断了。但代价也马上出现。OTA、Toyota 云服务、SOS 自动呼救都会失效。对普通车主来说,这不是一份“照着做”的教程,而是一次把联网汽车隐私困境拆给你看的样本。
他拆掉的是通信能力,不是整辆车的功能
Tetelman 拆掉的是丰田车上的 DCM,也就是 Data Communication Module。它负责车载通信、Toyota 云服务、SOS 等联网功能。
在他的这辆 2024 款 RAV4 Hybrid 上,拆除 DCM 后,基本驾驶功能仍可使用。车不是变成废铁,而是少了一条和云端通信的路。
但这里不能说过头。原文验证的是作者自己的车,不代表所有丰田车型、所有年份、所有车机架构都能这样处理。不同车的故障模式可能完全不同。
更准确地说,这是一次特定车辆上的隐私自救实验,不是通用维修建议。
| 改动或功能 | 变化 | 对车主的影响 |
|---|---|---|
| DCM 通信模块 | 被物理移除 | OTA、Toyota 云服务、远程联网能力失效 |
| SOS / 事故通知 | 随 DCM 失效 | 自动呼救和紧急服务被禁用 |
| 车内麦克风 | 原线路经过 DCM | 作者用 Telematics DCM Bypass Kit 恢复通话麦克风 |
| GPS 天线 | 从车机断开 | 主要为避免 CarPlay 接收错误车辆定位,导致导航异常 |
| 蓝牙连接手机 | 仍可能形成联网路径 | 作者改用有线 USB CarPlay |
GPS 这一点容易被误读。作者断开 GPS 天线,不是因为 GPS 自己会上传位置。GPS 主要是接收定位信号。
原文的问题在于 CarPlay。车机会把车辆定位提供给 CarPlay,如果车辆定位出错,导航会跟着乱跳。断开 GPS 天线,是为了解决这个导航异常,不是为了堵住上传通道。
真正更麻烦的是蓝牙。原文提醒,即使拆掉 DCM,如果继续用蓝牙把手机连到车上,车辆仍可能借手机网络向丰田上传遥测。Tetelman 因此改用有线 CarPlay。
这说明车的“联网”不是一个开关。它是一组路径:蜂窝模块、车机、手机、蓝牙、云服务。你断了一条,未必断了全部。
联网汽车的隐私风险,问题在默认连接
现代汽车收集的数据,早就不只是里程和故障码。
位置、速度、急加速急刹、燃油或电量、车载摄像头画面、驾驶员注意力监测,都可能进入车企、服务商、保险公司或数据经纪商的链条。具体范围取决于品牌、车型、地区和用户协议,但方向已经很清楚:车正在变成一个移动数据终端。
原文引用了几个背景案例。Mozilla 在 2023 年发布汽车隐私报告,批评 25 个汽车品牌在隐私方面表现糟糕。文章还提到 Subaru 漏洞、Tesla 员工内部分享敏感车载影像、车企向保险公司共享驾驶数据等案例。
这些案例不是同一种问题。
Tesla 更像软件平台型汽车,远程控制和车队数据能力更深。Subaru 案例暴露的是账户和后台权限安全。保险数据共享则说明,驾驶行为数据可能从“服务体验”流向“风险定价”。
RAV4 这个案例指向更基础的一层:如果车主不想要云服务,他能不能真正让车离线?
这正是我更在意的地方。远程解锁、OTA、车辆健康报告、事故呼救,确实有用。车企也会说,这些功能提高了便利和安全。
但便利和采集经常被打包。车主想保留基本车辆功能、拒绝持续联网,菜单里未必有一个可信、完整、可审计的选项。
对关注隐私的车主来说,买车时要多问几个过去不常问的问题:不用 App 能不能正常用车?能不能关闭蜂窝通信?关闭后会失去哪些功能?车辆是否还会通过手机连接上传数据?
如果答案含糊,最现实的动作不是立刻拆车,而是延后采购、改看隐私政策更清楚的车型,或者至少避免把车机和手机长期蓝牙绑定。
真问题不是能不能拆,而是为什么只能拆
这个案例对两类人最有参考价值。
一类是隐私敏感车主。他们不一定要学作者拆 DCM,但可以把这篇文章当成购车和用车清单:少用车企 App,谨慎授权手机蓝牙和通讯录,确认 SOS、远程服务、数据共享各自对应什么开关。
另一类是汽车安全和维修权议题读者。这个案例说明,车主对自己购买的车辆仍有硬件层面的控制空间。但这种控制越来越难,也越来越贵。
物理断网的好处直接:少一条远程外传路径。它的成本也直接:SOS 没了,OTA 没了,云服务没了,相关保修可能有争议,拆装还需要技术能力。
还要加一个限制:拆掉通信模块,不等于车辆绝对不采集数据。原文能说明的是,在作者这辆车上,远程外传能力被阻断;但本地存储是否还存在,不能据此下绝对结论。
这也是这件事最别扭的地方。一个用户想要隐私,理想状态不该是在“全盘接受联网服务”和“撬开中控台拆硬件”之间二选一。
更合理的路径应该是三件事。
| 应该出现的选择 | 解决的问题 | 谁会受益 |
|---|---|---|
| 可信离线模式 | 车主能保留基本用车,关闭远程通信 | 隐私敏感车主、二手车买家 |
| 可审计的数据开关 | 车主知道哪些数据被采集、传给谁 | 普通车主、监管机构 |
| 数据最小化要求 | 车企不能把功能和过度采集强行捆绑 | 整个汽车消费市场 |
接下来最该看的,不是有多少人会模仿拆 RAV4。那只会是少数人的办法。
真正的变量是车企和监管会不会承认一个简单需求:车主可以要安全功能,也可以拒绝不必要的数据外传。两者不该被故意绑成一包。
如果这个选择迟迟不给,硬件改装会继续存在。只是它保护的不是大多数车主,而是少数有技能、有时间、也愿意承担风险的人。