El mecanismo de sesiones de PHP se forma de la combinación de:
1. Un espacio de memoria en el servidor (usualmente un archivo de texto)
2. Una cookie del lado del cliente para identificarlo
Con cada request el cliente envía al servidor su cookie (Si la tiene). De esta forma el servidor asocia el request a la sesión (y de esa forma el visitante tiene acceso a su información).
Si por alguna razón (un hackeo por ejemplo), otro usuario se hace con la cookie de sesión del primero, puede acceder a todas sus variables, en caso contrario no será así.
Si necesitaras por alguna razón que más de un dispositivo use la misma sesión deberías forzar a que ambos usen el mismo id. Para ello tienes la función
session_id