Web上でパスワード変更後のiPhoneアプリの動作とiCloudキーチェーンへの反映について

こんにちは。

iosバージョン18.5のiPhoneで、あるアプリをログインして使用していました。

そのiosアプリのWebサイトはパソコンからでもログインできます。

win10を利用して、そのiosアプリのパスワードをWeb上で変更しました。

iPhoneでそのアプリを終了し、再起動すると、当然新しいパスワードが要求されるかと思いましたが、そんなこともなく、ログイン状態が継続しており、設定やデータの変更ができてしまいました。

これは1日経った現在も同様です。

パソコンにWindows用iCloud等はインストールしておらず、そのiosアプリは独自のアカウントを作成しており、Appleでサインインもしておりません。

さらに、iPhoneのパスワードを開くと、前は登録されていなかったのに、なぜかそのアプリのパスワードが登録されていて、パソコンで変更した新たなパスワードが記載されていました。

iPhoneのiCloudパスワードはオンにしていましたが、パソコンで変更を完結したアプリのログインパスワードがなぜ、何も変更作業に関わっていないiPhoneに、新パスワードが登録されているのか理解できません。

元々、セキュリティの一環としてパスワード簡単なパスワードだったものを変更をしたのですが、

仮にある攻撃者がすでに同じアプリとパスワードでログイン済みだった場合、パスワードを変更しても、このまま永続的にログイン状態は保持され、情報は筒抜けになり、設定なども自由に変更でき、その攻撃者もiCloudパスワードを利用していた場合、即時反映されてしまうのでしょうか？

なぜこのような事が起こるのでしょうか？

どなたかご存じの方、ご説明いただけると助かります。 どうぞよろしくお願いいたします。