Avast SecureLine VPN jest rozwijany przez Avast Software, firmę z branży cyberbezpieczeństwa założoną w 1988 roku w Pradze w Czechach. W 2022 roku Avast połączył się z NortonLifeLock, tworząc Gen Digital (NASDAQ: GEN) — konglomerat będący właścicielem marek Norton, AVG, Avira i LifeLock. Choć Avast pierwotnie działał pod jurysdykcją czeską — poza sojuszami wywiadowczymi Five Eyes, Nine Eyes i Fourteen Eyes — jego wchłonięcie przez Gen Digital z siedzibą w USA rodzi pytania o praktyczne konsekwencje dla zarządzania danymi. Sam produkt VPN pozostaje zarejestrowany pod jurysdykcją czeską.
Najpoważniejszą kwestią, którą muszą rozważyć potencjalni użytkownicy, jest udokumentowana historia sprzedaży danych użytkowników przez Avast. W latach 2014–2020 Avast zbierał szczegółowe dane przeglądania od użytkowników swoich produktów antywirusowych i rozszerzeń przeglądarki, a następnie sprzedawał je za pośrednictwem spółki zależnej Jumpshot ponad 100 podmiotom trzecim, w tym firmom reklamowym, brokerom danych i firmom analityki marketingowej. Dane te obejmowały każdą odwiedzoną stronę internetową, dokładne znaczniki czasu, typy urządzeń i przeglądarek oraz lokalizację geograficzną — powiązane z unikalnymi identyfikatorami urządzeń, które potencjalnie umożliwiały deanonimizację użytkowników. FTC stwierdziła, że zapewnienia Avast o anonimizacji były niewystarczające, a konsumenci nigdy nie zostali należycie poinformowani ani nie wyrazili świadomej zgody. W lutym 2024 roku FTC nakazała Avastowi zapłatę 16,5 miliona dolarów i trwale zakazała firmie sprzedaży lub licencjonowania danych przeglądania stron internetowych w celach reklamowych. Nakaz uprawomocnił się w czerwcu 2024 roku. Jumpshot został zamknięty na początku 2020 roku, po tym jak dziennikarze Motherboard i PCMag jako pierwsi ujawnili tę praktykę.
Pod względem technicznym Avast SecureLine dysponuje około 700 serwerami w 36 krajach i 58 lokalizacjach. Stany Zjednoczone mają najszersze pokrycie z 16 opcjami na poziomie miast, podczas gdy większość pozostałych krajów ma tylko jedną lokalizację serwera. Sieć ta jest wyraźnie mniejsza niż u czołowych konkurentów. VPN współdzieli infrastrukturę z AVG Secure VPN, co oznacza, że przeciążenie jednej usługi może wpływać na drugą. Obsługiwane protokoły to OpenVPN (TCP/UDP), WireGuard oraz autorski protokół Mimic firmy Avast, który zapewnia obfuskację umożliwiającą omijanie wykrywania VPN. Dostępność protokołów jest jednak niespójna w zależności od platformy: WireGuard jest dostępny wyłącznie na Windows i Android, a urządzenia Apple w ogóle nie obsługują OpenVPN ani WireGuard.
Wydajność pod względem prędkości jest zróżnicowana. Na pobliskich serwerach z użyciem WireGuard użytkownicy mogą spodziewać się rozsądnych prędkości ze spadkiem wynoszącym około 20–33% względem wartości bazowej. Połączenia z odległymi serwerami wykazują podobne lub nieco większe straty. Wydajność OpenVPN jest znacznie gorsza — w testach odnotowano spadki prędkości rzędu 50–90%. Protokół Mimic plasuje się pomiędzy nimi. Wyniki te sytuują Avast SecureLine w środku stawki — wystarczającym do ogólnego przeglądania internetu i streamingu w standardowej rozdzielczości, lecz potencjalnie niewystarczającym do zadań wymagających dużej przepustowości.
Funkcje bezpieczeństwa obejmują szyfrowanie AES-256 z wymianą kluczy RSA-4096, wyłącznik awaryjny (dostępny na komputerach stacjonarnych, lecz nie zawsze na urządzeniach mobilnych) oraz ochronę przed wyciekami DNS. W niezależnych testach nie wykryto wycieków DNS ani WebRTC. Jednak VPN nie posiada kilku funkcji spotykanych u czołowych konkurentów: brak podziału tunelowania na komputerach stacjonarnych, brak funkcji Double VPN lub multi-hop, brak infrastruktury serwerów działających wyłącznie na pamięci RAM oraz brak obsługi systemu Linux, routerów, smart TV i konsol do gier. Aplikacja jest ograniczona do systemów Windows, macOS, iOS i Android.
Polityka prywatności Avast SecureLine stanowi, że usługa nie rejestruje aktywności przeglądania, odwiedzanych stron internetowych ani uzyskiwanych treści. Mimo to usługa przechowuje logi połączeń przez okres do 30 dni, w tym znaczniki czasu połączeń, adresy IP na poziomie podsieci, adresy IP serwerów VPN oraz wolumeny przesyłanych danych. Aplikacje mobilne zawierają zewnętrzne narzędzia śledzące od Google Firebase Analytics, Google Crashlytics i AppsFlyer. Co istotne, nigdy nie przeprowadzono niezależnego audytu polityki logowania ani infrastruktury — co stanowi poważną lukę, biorąc pod uwagę historię firmy w zakresie danych użytkowników.
Wyniki w zakresie streamingu są niespójne. Testy wykazały, że VPN potrafi odblokować Disney Plus, Amazon Prime Video i BBC iPlayer, jednak regularnie zawodzi w przypadku Netflix, Hulu i Paramount Plus. Torrentowanie jest obsługiwane na ośmiu dedykowanych serwerach P2P zlokalizowanych w miastach takich jak Praga, Amsterdam, Frankfurt, Nowy Jork, Miami, Seattle, Londyn i Paryż. Ceny są konkurencyjne — 3,99 USD miesięcznie w planach dwu- i trzyletnich, z 60-dniowym bezpłatnym okresem próbnym niewymagającym podania karty kredytowej.
Fundamentalne napięcie związane z Avast SecureLine polega na tym, że VPN jest narzędziem ochrony prywatności, a Avast ma udowodnioną, stwierdzoną przez FTC historię naruszania prywatności użytkowników na masową skalę. Choć operacja Jumpshot została zamknięta, a firma działa obecnie na mocy zgody FTC, brak niezależnych audytów oznacza, że użytkownicy muszą przyjąć obecne deklaracje Avast dotyczące prywatności na wiarę — co jest trudne do zaakceptowania w obliczu tej historii.