Avast SecureLine VPN 由 Avast Software 开发,该公司是一家于 1988 年在捷克共和国布拉格成立的网络安全企业。2022 年,Avast 与 NortonLifeLock 合并,组建了 Gen Digital(纳斯达克代码:GEN)集团,该集团旗下还涵盖 Norton、AVG、Avira 和 LifeLock 等品牌。尽管 Avast 最初在捷克司法管辖范围内运营——不属于五眼、九眼或十四眼情报联盟——但其并入总部位于美国的 Gen Digital 后,在数据治理层面的实际影响引发了一定疑虑。VPN 产品本身仍注册于捷克司法管辖之下。
潜在用户必须认真权衡的最关键问题,是 Avast 有据可查的用户数据出售历史。2014 年至 2020 年间,Avast 通过其杀毒软件和浏览器扩展产品收集用户的详细浏览数据,并经由子公司 Jumpshot 将其出售给逾 100 家第三方公司,包括广告公司、数据经纪商及营销分析机构。这些数据涵盖用户访问的每个网站、精确时间戳、设备与浏览器类型及地理位置,并与可能用于去匿名化用户身份的唯一设备标识符相关联。FTC 认定,Avast 所声称的匿名化处理措施严重不足,且从未向消费者进行充分告知或获取其有效同意。2024 年 2 月,FTC 责令 Avast 缴纳 1,650 万美元罚款,并永久禁止该公司将网络浏览数据出售或授权用于广告目的。该命令于 2024 年 6 月正式生效。Jumpshot 于 2020 年初在 Motherboard 和 PCMag 的记者率先曝光此事后宣告关闭。
在技术层面,Avast SecureLine 在全球 36 个国家、58 个地区运营约 700 台服务器。美国的覆盖最为完善,提供 16 个城市级节点选择,而大多数其他国家仅有单一服务器位置。与领先竞争对手相比,这一网络规模明显偏小。该 VPN 与 AVG Secure VPN 共用基础设施,意味着一项服务出现拥堵可能波及另一项服务。支持的协议包括 OpenVPN(TCP/UDP)、WireGuard 以及 Avast 自有的 Mimic 协议——后者提供混淆功能,可绕过 VPN 检测。然而,各平台对协议的支持并不一致:WireGuard 仅在 Windows 和 Android 上可用,Apple 设备则完全不支持 OpenVPN 和 WireGuard。
速度表现参差不齐。在使用 WireGuard 连接附近服务器时,用户可获得较为合理的速度,相较基准速度约下降 20% 至 33%。连接远距离服务器时,速度损失相近或略高。OpenVPN 的表现明显更差,测试中报告的速度下降幅度为 50% 至 90%。Mimic 协议的表现介于两者之间。综合来看,Avast SecureLine 处于中游水平——足以应对日常浏览和标清流媒体播放,但对带宽需求较高的任务可能力不从心。
安全功能方面,该 VPN 提供 AES-256 加密、RSA-4096 密钥交换、断网保护(kill switch,桌面端可用,移动端表现不稳定)以及 DNS 泄露保护。独立测试中未发现 DNS 或 WebRTC 泄露。然而,该 VPN 缺乏顶级竞争对手普遍提供的若干功能:桌面端不支持分流(split tunneling),无双重 VPN 或多跳功能,无纯内存(RAM-only)服务器架构,且不支持 Linux、路由器、智能电视或游戏主机。应用程序仅限 Windows、macOS、iOS 和 Android 平台使用。
Avast SecureLine 的隐私政策声明其不记录浏览活动、访问的网站或所访问的内容。但其会保留长达 30 天的连接日志,包括连接时间戳、子网级 IP 地址、VPN 服务器 IP 地址及数据传输量。移动端应用内嵌了来自 Google Firebase Analytics、Google Crashlytics 及 AppsFlyer 的第三方追踪器。尤为重要的是,迄今从未有任何机构对其日志政策或基础设施进行独立审计——鉴于该公司在用户数据方面的历史记录,这一空白尤为值得关注。
在流媒体解锁方面,效果不稳定。测试显示,该 VPN 可解锁 Disney Plus、Amazon Prime Video 和 BBC iPlayer,但在 Netflix、Hulu 和 Paramount Plus 上频繁失效。BT 下载功能在八台专用 P2P 服务器上受到支持,这些服务器分布于布拉格、阿姆斯特丹、法兰克福、纽约、迈阿密、西雅图、伦敦和巴黎等城市。价格方面,两年及三年套餐低至每月 3.99 美元,具有竞争力,且提供无需绑定信用卡的 60 天免费试用期。
Avast SecureLine 的根本矛盾在于:VPN 本是一款隐私保护工具,而 Avast 却有着经 FTC 裁定认可的、大规模侵犯用户隐私的前科。尽管 Jumpshot 业务已被关停,公司目前也在 FTC 同意令的约束下运营,但独立审计的缺失意味着用户只能凭信任接受 Avast 目前的隐私承诺——鉴于其历史记录,这实属勉为其难。